Propel的fromArray/fromJSON特性可以安全地防止SQL注入吗?
Propel的fromArray/fromJSON特性可以安全地防止SQL注入吗?
提问于 2012-06-28 21:35:43
Propel ORM文档提到了使用fromArray和fromJSON等函数的a neat import/export feature,这些函数应该允许如下所示:
$foo = new Widget();
$foo->fromArray($_POST);
$foo->save(); /* Aaand you're done! */...but文档没有提到以这种方式使用fromArray是否被认为是安全的,即fromArray是否可以处理不可信的输入。我的猜测是这没问题-默认的setter是防注入的,整个交易都是基于PDO的-但我想确认一下。
回答 2
Stack Overflow用户
回答已采纳
发布于 2012-06-28 21:40:58
Propel不仅使用PDO进行查询,它还通过PDO使用准备好的语句,这在减轻SQL注入攻击(和提高性能)方面非常好。
请注意,仅使用PDO的不能保证对注入的任何保护,请始终使用Prepared Statements。
因此,对您的问题的回答是肯定的,Propel充分利用了PDO的功能来防止SQL注入。
Stack Overflow用户
发布于 2012-06-29 01:55:49
正如阿德南所说,$_POST是安全的,但是当您决定使用Propel方法时,千万不要直接传递Propel全局变量。否则,您将打开通向the mass assignment attack的大门。
你总是需要检查输入数据,换句话说,你永远不应该信任你的用户。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/11245886
复制相关文章
相似问题
腾讯云开发者
