Я хочу использовать CDbCriteira addInCondition () для нескольких входных параметров (число не предопределено). Этот метод составляет параметризованный запрос или нет?
Я нашел спорные мысли по этому поводу:
Также я посмотрел на спецификация метода addInCondition () и я не мог понять, хотя
Эта часть кода:
$condition=$column.'='.self::PARAM_PREFIX.self::$paramCount;
$this->params[self::PARAM_PREFIX.self::$paramCount++]=$value;
Кажется, для хранения параметризованных значений.
Затем в построителе запросов он будет использовать их в качестве пронумерованных параметров.
Я делаю это в сценарии, который я сделал сам, я действительно сомневаюсь, что Цянь (или кто-то еще) пропустит это и оставит инъекцию кода.
Кроме того, ВЫ ПРОВЕРИЛИ ЭТО? Вы можете добавить случайный SQL и посмотреть, не сбежит ли он.
Других решений пока нет …