是行走的fromArray / fromJSON功能可以从SQL注入安全吗?(Is Propel&#

2019-09-18 17:01发布

站内文章 / 后端开发
86 0 0

该波轮ORM文档中提到一个整洁的导入/导出功能使用像fromArray和fromJSON功能,即应该允许这样的事情: 

$foo = new Widget();
$foo->fromArray($_POST);
$foo->save(); /* Aaand you're done! */

......但文档好好尝试一下提及是否使用fromArray这种方式被认为是安全的,也就是说,如果fromArray可以处理不受信任的输入。 我的猜测是,它的所有权利 - 默认setter方法注射证明,并整个交易是基于PDO - 但我想是肯定的。

Answer 1:

推进不仅采用PDO的查询,还利用通过PDO准备语句,这是相当不错的,当涉及到减轻SQL注入攻击(和性能增强)。

请注意, 只是用PDO不保证不受SQL注入任何保护,始终使用预处理语句 。

因此,作为一个回答你的问题,是的,行走充分利用PDO的能力,从SQL注入保护。



Answer 2:

行走是安全的,因为阿德南说,但是当你决定使用fromArray()方法,从来没有通过$_POST直接全局变量。 否则,你打开门的质量分配攻击 。

你总是要检查输入数据,换句话说,你应该永远不会信任你的用户。



文章来源: Is Propel's fromArray/fromJSON feature safe from SQL injection?
标签: php sql orm sql-injection propel
举报

收藏的人(0)

Ta的文章 更多文章
登录 后发表评论
0条评论
还没有人评论过~