0

我想将 CDbCriteira addInCondition() 用于多个输入参数(数字未预定义)。此方法是否构成参数化查询?我发现对此有争议的想法:

  1. 的 - “因为它使用 CDbCriteria 我会认为它是安全的” - 引用。

我还查看了 addInCondition() 方法规范,但我不清楚。

4

1 回答 1

0

这部分代码:

$condition=$column.'='.self::PARAM_PREFIX.self::$paramCount;
$this->params[self::PARAM_PREFIX.self::$paramCount++]=$value;

似乎用于存储参数化值。

然后在查询生成器中,它将使用它们作为数字参数。

我在自己制作的脚本中这样做,我真的怀疑钱(或其他人)会错过它并留下代码注入。

另外,你测试了吗?您可以添加随机 SQL 并查看它是否被转义。

于 2014-10-27T14:57:12.327 回答