mysql_real_escape_string就像推进中的函数一样

时间:2014-10-10 04:51:28

标签: php mysql orm propel

我正在使用推进器。我正在向页面发布描述并通过推进查询保存它

$desc="my school's is here that why "" i have work";    // this data is posting by my form input.
$education->setEddescription($desc);
$education->save();

但在数据库中它并没有转义'和'“值。

感谢。

1 个答案:

答案 0 :(得分:2)

参考: Is Propel's fromArray/fromJSON feature safe from SQL injection?

Propel不仅使用PDO进行查询,还通过PDO使用预备语句,这在缓解SQL注入攻击(和性能增强)方面非常好。

请注意,仅使用PDO并不保证对SQL注入有任何保护,请始终使用准备好的语句。

作为对您问题的回答,是的,Propel充分利用PDO的能力来防止SQL注入。

相关问题
最新问题