我正在使用Silex,它正在使用来自Symfony的组件Request。
当我从表单中获取数据时,例如这样:
$params = $request->request->all();
没有东西被清理干净。与Laravel不同,用户输入数据会自动清理。我应该手动完成,使用像strip_tag这样的内置PHP函数,或者有一种symfony方法来实现它。
答案 0 :(得分:6)
所以基本上在清理输入时,它不应该是请求的一部分。这是因为,已清理的输入实际上只是数据库安全性的一部分。
因此,当Doctrine传递给Doctrine时,会对输入进行清理。基本上,Doctrine会自动确保所有输入都已清理。从广义上讲,数据库抽象层负责确保传递给它的数据有效。
Propel也是如此。
所以我所说的是输入清理不是Request对象的责任,所以它没有提供这样做的功能。这符合单一责任原则,您可以在此处详细了解:http://en.wikipedia.org/wiki/Single_responsibility_principle
如果要验证通过请求接收的数据,可以使用Validator Component执行此操作,还有一个Silex ServiceProvider: https://github.com/symfony/Validator
TLDR; 清理输入不是请求的响应性,它是您的DBAL(数据库滥用层)的责任。