向Doctirne Expr静态方法提供变量是否安全(例如expr() - > eq('p.var',$ var))?

时间:2014-07-08 10:25:59

标签: php symfony doctrine-orm doctrine doctrine-query

向Doctirne Expr静态方法提供变量是否安全?

如果必须将它们设置为参数,则有更简单的方法可以做到这一点,例如在$ or-> add()方法?

它就像是:

$or = $qb->expr()->orx();
if (!empty($sessionId)) {
    $or->add($qb->expr()->eq('up.session_id', $sessionId));
}
if ($user instanceof User) {
    $or->add($qb->expr()->eq('up.user_id', $user->getId()));
}

到目前为止我的丑陋解决方案是:

$qb = $this->getEntityManager()->createQueryBuilder();

$or = $qb->expr()->orx();
if (!empty($sessionId)) {
    $or->add($qb->expr()->eq('up.session_id', ':session_id'));
}
if ($user instanceof User) {
    $or->add($qb->expr()->eq('up.user_id', ':user_id'));
}

$qb->select('up')
    ->from('SCCatalogBundle:UserProject', 'up')
    ->where($or)
    ->OrderBy('up.updated', 'DESC');

if (!empty($sessionId)) {
    $qb->setParameter('session_id', $sessionId);
}
if ($user instanceof User) {
    $qb->setParameter('user_id', $user->getId());
}

$query = $qb->getQuery();

1 个答案:

答案 0 :(得分:1)

据我所知,你应该使用setParameter来避免SQL注入。 我想我没有必要按顺序设置参数。因此,您可以像这样编写代码:

$qb = $this->getEntityManager()->createQueryBuilder();

$or = $qb->expr()->orx();
if (!empty($sessionId)) {
    $or->add($qb->expr()->eq('up.session_id', ':session_id'));
    $qb->setParameter('session_id', $sessionId);
}
if ($user instanceof User) {
    $or->add($qb->expr()->eq('up.user_id', ':user_id'));
    $qb->setParameter('user_id', $user->getId());
}

$qb->select('up')
    ->from('SCCatalogBundle:UserProject', 'up')
    ->where($or)
    ->OrderBy('up.updated', 'DESC');


$query = $qb->getQuery();
相关问题
最新问题