我正在考虑使用 RedBean 作为 ORM 映射器。目前我正在使用我自己的实现,随着项目变得越来越大和越来越复杂,它的效果不是很好。
然而,有一个我无法找到的问题:
就有人注入代码/查询/虚假数据而言,RedBean 的安全性如何?
假设我想在后台使用 MySQL 数据库,并且通过 POST 获取传入数据。是否可以使用恶意 POST 数据执行 MySQL 注入?我是否必须自己转义传入的数据,还是 RedBean 在后台执行类似的操作?如果我使用 ORM 作为数据库抽象,我是否需要担心类似的事情?
我不打算通过直接在 Redbean 上处理 MySQL 语句来缩短 Redbean。所以这可能没有问题。
我自己(在一定程度上)找到了答案:
There is no need to use mysql_real_escape as long as you use parameter binding.
Use the question mark slots or the named slots as shown in the examples.
Please don't use your own homebrewn escaping functions.
Source
在“Converting Records to Beans”部分下。
您已经正确回答了自己,但也请注意以下帖子:PDO MySQL:使用 PDO::ATTR_EMULATE_PREPARES 与否?