我是否需要使用Doctrine查詢在Symfony2上轉義字符串？

我有這樣的代碼：
我從一個GET請求一些數據：我是否需要使用Doctrine查詢在Symfony2上轉義字符串？

$username = $request->get('username');

然後，我用的教義來檢查，如果此用戶名存在與否：

$found = $em->getRepository('Bundle:Users')->findByNick($username); 
      if ($found){ 
       //nickname in use 
      } else { 
       //not found 
      }

正如你可以看到，我沒有String轉義，所以這個值直接發送給Doctrine。這是一個安全問題嗎？爲了安全起見，它應該被削減嗎？
請注意，我從不使用RAW查詢，只是從Doctrine預生成。

來源

2013-08-18 Reinherd

沒有必要使用預處理語句來完成。

你可以在這裏閱讀：http://docs.doctrine-project.org/projects/doctrine-dbal/en/latest/reference/security.html

而且我已經嘗試過了。這是教義所產生的查詢：

WHERE t0.nick = 'dasdfaf \\' OR 1'

正如你看到的，添加幾個斜線。

來源

2013-08-18 16:53:34 Reinherd

是的。在教義中不需要擔心它。但它通常被稱爲「逃避」 – Cerad

我是否需要使用Doctrine查詢在Symfony2上轉義字符串？

回答

相關問題