我是否正确地说,在添加到数据库之前,laravel + eloquent会干扰用户输入?所以我不必在这做任何事情吗?
我也想知道从数据库中转出输出,我知道该怎么做:
{{{ $var }}}
但是有必要吗?如果是这样,为什么?是否阻止在您的网站上运行恶意用户代码?但是当数据进入数据库时,这不是由laravel处理的吗?
答案 0 :(得分:0)
你应该对输入进行清理,因此不会发生SQL注入和事情,这是一种安全措施(我相信)。
现在,您可以在输出中执行任何操作,因为现在您可以使用一些数据。
剥离html(所以没有xss发生)等等,这一切都取决于数据的使用方式。
答案 1 :(得分:0)
它有两种不同类型的“保护”
在插入DB之前它的块sql-injection和类似的东西..
三个花括号用于转义或纯化数据以防止xss等。
见这里: http://laravel.com/docs/templates#other-blade-control-structures