433
社区成员
发帖
与我相关
我的任务
分享关于Yii2的防sql注入
引用权威指南的一句话:在 Yii 中,大部分的数据查询是通过 Active Record 进行的, 而其是完全使用 PDO 预处理语句执行 SQL 查询的。在预处理语句中,上述示例中,构造 SQL 查询的场景是不可能发生的。
http://www.yiichina.com/doc/guide/2.0/security-best-practices
我理解是我用这几种方式都安全?
$model->find()->where(['id'=>$id]) //哈希格式
$model->find()->where("id=$id") //字符串格式
$model->find()->where(['=','id',$id]) //操作符格式
...全文
请发表友善的回复…
发表回复
weixin_38089454 2019-09-11
- 打赏
- 举报
hash正解, ['id'=>$id]
weixin_38076230 2019-09-11
- 打赏
- 举报
$model->find()->where([ 'id' => $id ])
第一我记得这种应该是安全的,因为会做bind 操作,如果不放心可以对 $id在使用前进行处理比如 (int)$id or 长度监测之类的
其实更好的办法是在 架构设计和数据库设计的时候去屏蔽这种问题
weixin_38081987 2019-09-11
- 打赏
- 举报
bindParam bindValue 这样是最安全的
