3
Doctrine是否自動阻止SQL注入?
下面的代碼是否安全?Doctrine和SQL注入
$user = new Model_User();
$user->name = $_POST['username'];
$user->save();
A
回答
4
就SQL注入而言,我認爲不會有問題。但是,您可能還想確保用戶名格式良好(例如,可能爲<script>//do somthing bad</script>,並且在您在站點某處輸出該用戶名時將執行該腳本)
3
您可以安全地使用只要您使用bound parameters(Doctrine將在後臺使用這些示例,以便您的示例沒問題),則可以使用Doctrine(以及任何其他基於PDO的數據庫庫)進行SQL注入,但是,如果不對其進行消毒,則不應使用來自客戶端的輸入第一。看一看PHP的Filter庫 - 特別是衛生化的例子。在你的情況下,你至少要驗證名稱是一個字符串,使用FILTER_SANITIZE_STRING「Strip標籤,可選擇去除或編碼特殊字符。」。
相關問題
- 1. LINQ和SQL注入
- 2. Hibernate和SQL注入
- 3. SqlCeResultSet和SQL注入
- 4. EntitySQL和SQL注入
- 5. SQL注入和Codeigniter
- 6. ORM和SQL注入
- 7. Doctrine 2註釋和「var」
- 8. Linq到SQL和SQL注入
- 9. Zend_DB/Doctrine保護我免受SQL注入嗎?
- 10. SQL注入和.NET 4
- 11. SQL注入攻擊和django
- 12. Like子句和sql注入
- 13. Gnome的libgda和SQL注入
- 14. Doctrine2 FindOneBy和SQL注入
- 15. SqlDataSource控件和SQL注入
- 16. SQL注入和Postgres「CREATE SCHEMA」
- 17. LINQ to Entities和SQL注入
- 18. 參數和SQL注入asp.net
- 19. Erlang和SQL注入攻擊
- 20. Linq到sql和sql注入攻擊
- 21. Doctrine 1.2 getResultCache和Left加入
- 22. Doctrine 2和CodeIgniter入門
- 23. Symfony2 - Doctrine和FOSUserBundle - 錯誤註釋
- 24. MySQL的「插入」和SQL注入
- 25. SQL注入
- 26. 盲SQL注入
- 27. TableAdapters SQL注入
- 28. mysqli_stmt_bind_param SQL注入
- 29. DocumentDB Sql注入?
- 30. SQL Server注入