4

快速提问,Kohana(版本 3)是否会自动转义传递给 ORM::factory 的数据.....(以及与数据库有关的其他任何地方)?

例如:

$thread = ORM::factory('thread', $this->request->param('id'));

在第二个参数中传递的数据会在进入 SQL 查询之前自动转义还是我必须手动执行?可能是一个愚蠢的问题,安全总比抱歉好,但是是的......我通常会手动转义数据,但我想知道 Kohana 是否为我这样做?

谢谢

4

1 回答 1

6

它是自动转义的。唯一需要担心转义的情况是,如果您正在编写自己的 SQL 并直接插入数据(例如通过连接),您不应该这样做。在 Kohana 中查询数据库的常规方法是参数化查询(如果您需要自己提供 SQL)、查询构建器和 ORM,所有这些都为您处理转义。

于 2010-05-02T21:57:59.603 回答