3
תגובות
שאני מוסיף נתונים למסד בעזרת טופס או GET
אז הYII מגן אוטומתי נגד SQL INJECTION?
אז הYII מגן אוטומתי נגד SQL INJECTION?
3 תשובות
ענה
כן ולא.
כן, בגלל שבאופן כללי yii עובד עם prepared statements שמוגנים מפני sql injection
לא, בגלל שאין קשר בין מסד לבין מאיפה מגיעים הנתונים. ל yii לא אכפת אם הם מגיעים מתוך קובץ או מהירח.
ענה
אז נגיד לקוד הזה
$new = new User();
$new->name = $model->name;
$new->save();
$new->name = $model->name;
$new->save();
ניתן להחדיר פה SQL INJECTION או שאני אצטרך לאבטח את זה (כמובן שנגד XSS יש צורך לאבטח, אבל אני שואל פה על SQLI)