4
當使用Doctrine2的EntityRepository::findBy()時,我是否仍需要轉義傳入的值?使用EntityRepository :: findBy()時我需要轉義值嗎?
$em->getRepository('User')->findBy(array('name' => $_POST['name']));
^need to escape?
A
回答
5
簡短的回答:沒有,你不。
龍答:逃逸是一個低級別的數據庫關注其中一個更高級別的ORM像學說摘要你。在使用Doctrine時,您應該只關心查詢域模型,而不關心如何將其轉換爲基礎持久性技術(在本例中爲SQL查詢)。
1
數據庫庫自然落在接觸類SQL注入安全漏洞。您應該仔細閱讀以下信息,以瞭解Doctrine如何能夠並且無法幫助您防止SQL注入。
一般來說,你應該假設在學說API不是用戶輸入的安全。然而有一些例外。
以下API被設計成從SAFE SQL注入:
- 對於
Doctrine\DBAL\Connection#insert($table, $values, $types),Doctrine\DBAL\Connection#update($table, $values, $where, $types)和Doctrine\DBAL\Connection#delete($table, $where, $types)僅$values和$where數組值。 $ values和$的表名和鍵在NOT轉義。 Doctrine\DBAL\Query\QueryBuilder#setFirstResult($offset)Doctrine\DBAL\Query\QueryBuilder#setMaxResults($limit)Doctrine\DBAL\Platforms\AbstractPlatform#modifyLimitQuery($sql, $limit, $offset)爲$limit和$offset參數。
考慮所有其他API來爲用戶輸入不安全:
- 連接
- 的QueryBuilder的API
- 平臺和SchemaManager API來生成並執行DML的查詢方法/ DDL SQL語句
要在這些情況下轉義用戶輸入,請使用Connection#quote()方法。
來源:http://docs.doctrine-project.org/projects/doctrine-dbal/en/latest/reference/security.html
相關問題
- 1. 我需要轉義子查詢嗎?
- 2. 正確使用正則表達式時需要HTML轉義嗎?
- 3. 我需要使用NSKeyedArchiver嗎?
- 4. 我需要使用NSLock嗎?
- 5. 使用@Autowired時,我需要定義一個構造函數嗎?
- 6. htmlentities和json_encode,如果使用json_encode轉義數據,我需要使用htmlentities嗎?
- 7. jQuery .val方法需要轉義嗎?
- 8. 教義findby魔法空值
- 9. 超時後我需要調用EndInvoke嗎?
- 10. 我需要將NSUInteger轉換爲size_t嗎?
- 11. 我需要清理輸入嗎? PDO和mysql轉義
- 12. 我需要轉義這個MATLAB字符串中的字符嗎?
- 13. 我需要在配置文件中轉義反斜槓嗎?
- 14. Override Persister:loadAll in EntityRepository
- 15. 使用EntityRepository :: findBy()與多對多關係將導致Doctrine中的E_NOTICE
- 16. 在SQL中,我不需要NULL值,我需要顯示用戶定義的值
- 17. 我可以使用simplexml_load_file($ url)而不需要自動轉義$ url嗎?
- 18. 使用$(document.createElement())時,我需要使用$(document).ready()嗎?
- 19. 使用MySQL時,我總是需要使用AsyncTask嗎?
- 20. 使用phpseclib時,我需要使用stream_set_blocking嗎?
- 21. 我在使用expect時需要使用spawn嗎?
- 22. 在追加數據之前我需要轉義嗎
- 23. 我需要SQL轉義參數傳給Tridion經紀人嗎?
- 24. 我需要PolylineOptions嗎?
- 25. 我需要在javascript中轉義這些嗎?
- 26. 旋轉設備時需要編碼嗎?
- 27. 我需要TestFlight嗎?
- 28. 我需要app.config嗎?
- 29. 我需要phpMyAdmin嗎?
- 30. 我需要getJson嗎?