Question

我似乎无法确定PHP Adodb Active Record，DB ORM是否可以防止SQL注入。

具体来说，我正在使用更新和插入方法，例如：

$person = new person();
$person->name_first = $_POST['firstname'];
$person->name_last  = $_POST['surname'];
$person->save();

$ _POST变量是否需要转义？

Answer 1

我只是查看了代码 - 它确实逃脱了你传递的变量。您可以通过启用调试模式来确认这一点......或者更简单一点，尝试写出带有单引号和双引号的字符串，看看它是否可以进入表中： - ）