Doctrine2 FindOneBy和SQL注入

Question

此代碼（在Doctrine2中）是否可以防範SQL注入？或者應該$ _GET ['值'] 消毒？

$ret = $entityManager->getRepository('SomeEntity')->findOneBy(array('ID' => $_GET['value'])); 

謝謝

Answer 1

它是從SQL注入安全。您可以在源代碼中找到相關代碼，相關代碼位於Doctrine\ORM\Persisters -namespace中，以及Doctrine\ORM\EntityRepository和Doctrine\ORM\UnitOfWork。

您的條件轉換爲佔位符，這也是推薦的編寫自己的查詢以防止SQL注入的方式。