快速提问,Kohana(版本 3)是否自动转义传递到 ORM::factory.....(以及与数据库有关的任何其他地方)的数据?
例如:
$thread = ORM::factory('thread', $this->request->param('id'));
第二个参数中传递的数据在进入 SQL 查询之前是否会自动转义,还是我必须手动转义?可能是一个愚蠢的问题,安全总比后悔好,但是是的......我通常会手动转义数据,但我想知道 Kohana 是否为我这样做?
谢谢
最佳答案
它是自动转义的。唯一需要担心转义的情况是,如果您正在编写自己的 SQL 并直接插入数据(例如,通过连接的方式),您不应该这样做。在 Kohana 中查询数据库的常规方法是参数化查询(如果您需要自己提供 SQL),query builder和 ORM,所有这些都为您处理转义。
关于php - Kohana v3,自动转义非法字符?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2754770/