Php 是推进';s fromArray/fromJSON功能是否可以防止SQL注入?
推进ORM文档提到使用fromArray和fromJSON之类的函数,这应该允许如下操作:Php 是推进';s fromArray/fromJSON功能是否可以防止SQL注入?,php,sql,orm,sql-injection,propel,Php,Sql,Orm,Sql Injection,Propel,推进ORM文档提到使用fromArray和fromJSON之类的函数,这应该允许如下操作: $foo=newwidget(); $foo->fromArray($\u POST); $foo->save();/*啊,你完了*/ …但是文档没有提到以这种方式使用fromArray是否应该是安全的,即fromArray是否可以处理不受信任的输入。我的猜测是,这没关系——默认设置器是防注入的,整个交易都基于PDO——但我想确定。Prope不仅使用PDO进行查询,还通过PDO使用准备好的语句,这在减轻
$foo=newwidget();
$foo->fromArray($\u POST);
$foo->save();/*啊,你完了*/
…但是文档没有提到以这种方式使用fromArray是否应该是安全的,即fromArray是否可以处理不受信任的输入。我的猜测是,这没关系——默认设置器是防注入的,整个交易都基于PDO——但我想确定。Prope不仅使用PDO进行查询,还通过PDO使用准备好的语句,这在减轻SQL注入攻击(和提高性能)方面非常好 请注意,仅使用PDO不能保证对SQL注入提供任何保护,请始终使用
因此,作为对您问题的回答,是的,spreep充分利用了PDO的能力来防止SQL注入。正如Adnan所说,spreep是安全的,但是当您决定使用
fromArray()$\u POST