Является ли метод addInCondition () в CDbCriteria «SQL-инъекцией»?

Question

Является ли метод addInCondition () в CDbCriteria «SQL-инъекцией»?

Я хочу использовать CDbCriteira addInCondition () для нескольких входных параметров (число не предопределено). Этот метод составляет параметризованный запрос или нет?
Я нашел спорные мысли по этому поводу:

да — «Поскольку он использует CDbCriteria, я бы предположил, что это безопасно», — цитирует.
нет

Также я посмотрел на спецификация метода addInCondition () и я не мог понять, хотя

0

php sql-parametrized-query yii yii-cactiverecord

Решение

Другие решения

Других решений пока нет …

Источник

Accepted Answer

Эта часть кода:

$condition=$column.'='.self::PARAM_PREFIX.self::$paramCount;
$this->params[self::PARAM_PREFIX.self::$paramCount++]=$value;

Кажется, для хранения параметризованных значений.

Затем в построителе запросов он будет использовать их в качестве пронумерованных параметров.

Я делаю это в сценарии, который я сделал сам, я действительно сомневаюсь, что Цянь (или кто-то еще) пропустит это и оставит инъекцию кода.

Кроме того, ВЫ ПРОВЕРИЛИ ЭТО? Вы можете добавить случайный SQL и посмотреть, не сбежит ли он.

0