将数据发送到Model :: find或Model :: read时,例如当我想加载如下记录时:
$this->MyModel->read(null, $id);
我通常将$ id包装在intval()中;防止意外或恶意使用。
这有必要吗?有谁知道蛋糕对Model :: find()查询中的条件和字段做了什么?
PS:我使用cakephp裸露,没有自定义设置完成,就模型而言。
答案 0 :(得分:1)
不,这没有必要.Cakephp的DBO mysql层已经为你完成了。
答案 1 :(得分:0)
只要您不使用Model-> query(..),Cake ORM就会在将这些值写入数据库之前将其转义。
使用intval()或is_numeric()检查数据类型是验证用户提供的内容的好方法。