3
תגובות
שאני מוסיף נתונים למסד בעזרת טופס או GET
אז הYII מגן אוטומתי נגד SQL INJECTION?

3 תשובות

avatar ענה intval ב 24 לספטמבר 2013 #

כן ולא.
כן, בגלל שבאופן כללי yii עובד עם prepared statements שמוגנים מפני sql injection
לא, בגלל שאין קשר בין מסד לבין מאיפה מגיעים הנתונים. ל yii לא אכפת אם הם מגיעים מתוך קובץ או מהירח.

avatar ענה ilikeme ב 25 לספטמבר 2013 #

אז נגיד לקוד הזה

$new = new User();
$new->name = $model->name;
$new->save();


ניתן להחדיר פה SQL INJECTION או שאני אצטרך לאבטח את זה (כמובן שנגד XSS יש צורך לאבטח, אבל אני שואל פה על SQLI)

avatar ענה intval ב 25 לספטמבר 2013 #

לא. לא ניתן להחדיר פה sql injection
אבל אפשר בכיף להחדיר xss אם תשקח לעשות htmlSpecialChars לפני שתדפיס את התוכן למסך