我使用 Propel 框架来与数据库进行通信。我认为当我尝试进行输入时,它使用 PDO 并生成 bindParam()
,因此应该涵盖 SQL 注入(inject)。
但是它是否提供了额外的安全性,例如 strip_tags()
、htmlspecialchars()
或类似的东西,还是我应该手动执行此操作?
我以前使用过 PDO,所以我了解基础知识,但这是我第一次使用 Propel。
最佳答案
我不希望 ORM 能够防御 XSS 攻击。这是一个与数据库层无关的问题(如果您想存储 HTML,则会给您带来问题)。
关于php - Propel 提供什么安全性?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14436351/