使用參數,而不是直接在查詢字符串將值做是爲了防止SQL注入攻擊,應始終是done:SQL注入的Symfony /原則
... WHERE p.name > :name ...
->setParameter('name', 'edouardo')
這是否意味着,如果我們使用這樣的參數,我們將始終受到SQL注入的保護?在使用表格(FOS註冊表格)時,我將<b>eduardo</b>
代替,並將其用標籤持久保存到數據庫中。我真的不明白爲什麼使用參數會阻止SQL注入...
爲什麼這些標記會像這樣持續存在數據庫中?有沒有辦法通過使用Symfony的驗證組件來刪除標籤?
在將數據保存在Symfony中的數據庫之前,我們應該使用一般的提示或方法嗎?
你在哪看到'eduardo'中的SQL? – greg0ire 2012-07-18 11:47:02