我在循环中向DB(~500)插入大块数据(总共有近20000条记录):
$builder = Yii::app()->db->schema->commandBuilder;
$command = $builder->createMultipleInsertCommand('product_supplier',
$dataToDb
);
$command->execute();
使用AR可以使用validate()方法确保数据有效,AFAIK模型可以逃避所有危险数据。
我想避免被SQL注入。
当我使用多个插入时,我应该自己逃避所有数据吗?或者Yii会照顾它吗?
使用标准PHP函数“mysqli_escape_string”是不是一个好主意?
我不确定它有多好。
感谢。
答案 0 :(得分:0)
CDbCommand::createMultipleInsertCommand()方法使用param绑定,因此它是安全的。
ActiveRecords也使用param绑定,并且没有额外的转义,因为它不是必需的。