学说和 SQL 注入

发布于 2024-10-09 01:55:52 字数 151 浏览 0 评论 0原文

Doctrine 会自动防止 SQL 注入吗？
下面的代码安全吗？

$user = new Model_User();
$user->name = $_POST['username'];
$user->save();

原文

Does Doctrine automatically prevent SQL injection?
Is the following code secure?

$user = new Model_User();
$user->name = $_POST['username'];
$user->save();

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

私野 2024-10-16 01:55:52

就SQL注入而言我认为不会有问题。但是您可能还想确保用户名的格式正确（例如可以是

回复收藏 0 原文

负佳期 2024-10-16 01:55:52

只要您使用绑定参数（Doctrine 将在幕后使用这些参数，所以你的示例很好），但是你不应该在没有先清理客户端输入的情况下使用它。查看 PHP 的 Filter 库 - 特别是清理示例。在您的情况下，您至少需要使用 FILTER_SANITIZE_STRING“剥离标签，可选择剥离或编码特殊字符”来验证名称是否为字符串。

回复收藏 0 原文

~没有更多了~