小白求教,关于sql注入的问题

新手提问 · xjdata · 于 3年前 发布 · 1974 次阅读

刚刚看完了慕课的关于yii2的安全教程。 最后一张有说 设置emulateprepare = false 然后使用占位符的方式进行方式sql注入。

我的问题是

  1. 请问这样就肯定能够避免sql注入了吗?
  2. 如果我依然设置 emulateprepare = true, 那么 我在使用ar或者query build 的时候 所有的数组方式赋值 是不是根本就不能做到防范sql注入的效果? 如 $model->find()->where(['id'=>$id])... 如果使用数组赋值方式不能起到防范sql注入,那么像我这样的小白,yii是否有什么可以依托的相对安全的方式,让我们去操作数据库呢?

当然个人没有测试,对于第二个问题其实可以自己模拟一下的。但是因为水平有限对于各种sql或者url的转码肯定不能做到全面,所以想上来问问各位朋友,请大家分享下经验。谢谢大家~~~

共收到 0 条回复
没有找到数据。
添加回复 (需要登录)
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册