Я использую Propel. Я выкладываю описание на страницу и сохраняю его по запросу propel
$desc="my school's is here that why "" i have work"; // this data is posting by my form input.
$education->setEddescription($desc);
$education->save();
но в базе данных он не экранирует значения ‘и’ ‘.
Благодарю.
Ссылка:
Безопасна ли функция Propel fromArray / fromJSON от внедрения SQL?
Propel не только использует PDO для запросов, он также использует подготовленные операторы через PDO, которые очень хороши, когда речь идет о смягчении атак SQL Injection (и повышении производительности).
Обратите внимание, что простое использование PDO НЕ гарантирует какую-либо защиту от SQL-инъекций, всегда используйте подготовленные операторы.
В качестве ответа на ваш вопрос, да, Propel полностью использует возможности PDO для защиты от SQL-инъекций.
Других решений пока нет …