Мне интересно, безопасна ли функция persist() из Doctrine для предотвращения внедрения SQL. Я искал, но, прочитав какое-то время, мне все еще не ясно. Я использую Symfony 2:Является ли Доктрина устойчивой() безопасной от SQL-инъекции?
$em = $this->getDoctrine()->getManager();
$em->persist($log);
$em->flush();
Вы можете найти ответ на свой вопрос в доктрине 2 документации - here
Вы можете рассмотреть следующий API, чтобы быть в безопасности от SQL инъекции ... Все значения на объектах, вставленных и обновленных через
Doctrine\ORM\EntityManager#persist()
Так что да, persist должен быть безопасным от SQL-инъекции.
Большое спасибо за вашу помощь! –
Ну, вы могли бы упомянуть, что Доктрина обернута вокруг «PDO» и использует подготовленные утверждения, которые **, что ** делает Doctrine безопасной от инъекций. Во всяком случае, есть места, где можно потенциально открыть инъекции (т. Е. Если вы напишете DQL, который включает в себя переменную php, такую как 'SELECT My \ Entity u WHERE u.name = $ username') – tftd
Да, ORM сгенерирует SQL и запрограммирует запрос автоматически.
Я был бы очень обеспокоен, если бы одна из самых популярных библиотек ORM в PHP не защищала от SQL-инъекции. Всегда хорошо знать! – Seer