请问关于防止sql注入,是不是$this->db->where ( ‘titile’, $valu...
$this->db->where ( ‘titile’, $value);
$this->db->where ( ‘titile’, $this->db->escape($value));
$this->db->where ( ‘titile’, $this->db->escape_like_str($value));
看手册有这三种。先不说其他广义的防注入。 只是用来 拒绝用户输入的 1' or 1=1之类的方式。
我看手册有这么一句Active Record的查询都已被自动保护。
我想请问。 是不是Active Record在保护表明字段名的时候。 已经进行了查询条件的转义呢?
在请问。 如果我现在就在 AR的查询数据中。
这三条是否一样?
是否可以理解为,当程序不使用AR的数据操作时, 对查询条件使用escape、escape_like_str 进行一种防注入保护?
我实际测试了下, 发现 Active Record 的情况下。确实是我说的。但是我想请熟悉的朋友 给一个准确的答复。谢谢~
ar是安全的。但是没有跨站攻击检测。非ar得手动过滤。其实自己试一试。什么都看出来了..
页:
[1]