Wan*_*uta 5 php sql orm propel sql-injection
Propel ORM文档使用fromArray和fromJSON等函数提到了一个简洁的导入/导出功能,它应该允许这样的东西:
$foo = new Widget();
$foo->fromArray($_POST);
$foo->save(); /* Aaand you're done! */
...但是文档没有提到如果使用fromArray这种方式应该是安全的,即如果fromArray可以处理不受信任的输入.我的猜测是没关系 - 默认的设置器是防注射的,整个交易是基于PDO的 - 但我想确定.
Propel不仅使用PDO进行查询,还通过PDO使用Prepared Statements,这在缓解SQL注入攻击(和性能增强)方面非常好.
请注意,仅使用PDO不保证对SQL注入有任何保护,请始终使用Prepared Statements.
因此,作为对您的问题的回答,是的,Propel充分利用PDO的能力来防止SQL注入.