使用此课程:http://api.symfony.com/2.0/Symfony/Component/HttpFoundation/Request.html
而不是针对sql注入的$ _GET和$ _POST项目。
我主要使用findby和findoneby,但我确实有一个我做的一般搜索,我很担心。
我正在使用$ this-> getDoctrine() - > getManager() - > createQuery(“query”)进行搜索。
答案 0 :(得分:2)
只要您使用doctrine的内置方法或使用占位符和参数编写自己的DQL语句,就不会遇到任何风险。
在您的具体情况下,由于您没有提供真实的示例,我无法评估,但我认为您将数据库暴露给sql-injection。 我在这里告诉你的一个问题是使用查询构建器以及占位符和参数。