CakePHP分頁SQL注入

Question

我正在研究CakePHP（版本2.6.7）項目。我有一個搜索頁面，在這裏的一個術語，結果顯示使用CakePHP的分頁程序，像這樣一個用戶搜索：

$this->Paginator->settings['conditions']['Records.name like'] = '%'.$this->request->query['searched_term'].'%'; 
$this->set('results', $this->Paginator->paginate('Records')); 

分頁是否從SQL注入保護？ $this->request->query['searched_term']是由用戶輸入的，所以它不能被信任，並且我無法找到關於paginate是否阻止SQL注入的任何信息。我知道Sanitize::clean()但它被標記爲折舊。我應該用它嗎？如果不是，我應該使用什麼？

Answer 1

最後，paginator發出Model::find()來電，所以它一般安全如find()。

通常，field => value樣式條件的值側的所有內容（除了表達式對象）都將自動引用/轉義，因此您顯示的內容是安全的。

又見

• Cookbook > Models > Retrieving Your Data > Complex Find Conditions
• API > DboSource::expression()