我正在考虑使用RedBean作为ORM映射器。目前我正在使用我自己的实现,这不是很好的工作,因为项目越来越大,越来越复杂。
不过,有一个问题我无法发现:
对于注入代码/查询/假数据的人来说,RedBean有多安全?
假设我想在后台使用MySQL数据库,然后通过POST获取传入的数据。是否可以对恶意POST数据执行MySQL注入?我需要自己转义传入的数据还是RedBean在后台做了类似的事情?如果我使用ORM作为数据库抽象,一般情况下需要担心这样的事情吗?
我不打算通过直接处理MySQL语句来简化Redbean。所以这可能没有问题。
最佳答案
我自己找到了答案(在某种程度上):
There is no need to use mysql_real_escape as long as you use parameter binding.
Use the question mark slots or the named slots as shown in the examples.
Please don't use your own homebrewn escaping functions.
Source
在“将记录转换为bean”部分下。
关于php - PHP ORM-Redbean的安全性?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/15338520/