Я использую FluentPDO для обработки запросов к базе данных. При взгляде на его код он, похоже, не использует какие-либо формы экранирования. Я понимаю, что PDO решает много проблем безопасности самостоятельно, но это не застраховано от них.Как справиться с проблемами безопасности с FluentPDO в PHP?
Как я понимаю, он невосприимчив к инъекции SQL, пока мы используем подготовленные синтаксические признаки на это сайт:
$query = $fpdo->from('article')
->where('published_at > ?', $date) // HERE!!
->orderBy('published_at DESC')
->limit(5);
Как о побеге переменных, чтобы предотвратить вторую инъекцию порядка SQL? Было бы просто использовать addslashes()? Было бы лишним? Как обращаться с безопасностью в этой библиотеке?
Спасибо!
Если библиотека использует подготовленный оператор и привязывает параметры. Это должно быть хорошо. – frz3993
Не следует различать, откуда поступают данные; просто передайте его как параметр, и все в порядке. – Gumbo
Извините @ Gumbo, не могли бы вы объяснить это дальше? – fgarci03