在添加到數據庫之前,我有趣的是,laravel +雄辯地清理用戶輸入?所以我不需要在這裏做任何事情?轉義用戶輸入 - 數據庫輸入前後?
我也想知道關於從數據庫中逃脫輸出,我知道如何做到這一點:
{{{ $var }}}
但它是必要的嗎?如果是這樣,爲什麼?它是否阻止惡意用戶代碼在您的網站上運行?但是當數據進入數據庫時,這不是由laravel處理的嗎?
在添加到數據庫之前,我有趣的是,laravel +雄辯地清理用戶輸入?所以我不需要在這裏做任何事情?轉義用戶輸入 - 數據庫輸入前後?
我也想知道關於從數據庫中逃脫輸出,我知道如何做到這一點:
{{{ $var }}}
但它是必要的嗎?如果是這樣,爲什麼?它是否阻止惡意用戶代碼在您的網站上運行?但是當數據進入數據庫時,這不是由laravel處理的嗎?
其兩種不同類型的「保護」
的插入DB這樣其塊SQL注入和東西之前..
三個花括號用於轉義或純化中的數據防止xss等。
在這裏看到: http://laravel.com/docs/templates#other-blade-control-structures
你應該對輸入進行清理,所以不會發生SQL注入和事情,這是一個安全措施(我相信)。
現在你可以做任何你想要的輸出,因爲現在你有一些數據可以使用。
帶html(所以沒有xss發生)等等,這一切都取決於數據將如何使用。
謝謝,但你的回答並沒有真正回答我的問題laravel隨着 – panthro
1是這樣做了,你有口才? – panthro
是的,因爲它使用PDO參數綁定。所以你不必擔心sql注入 –