Symfony/Doctrine中的SQL注入

使用参数,而不是直接在查询字符串将值做是为了防止SQL注入攻击,应始终做到:

这是否意味着如果我们使用这样的参数,我们将始终受到SQL注入的保护？在使用表单(FOS的注册表单)时,我eduardo改为使用标签将其保存到数据库中.我真的不明白为什么使用参数可以防止SQL注入......

为什么标签会像这样持久存储到数据库中？有没有办法通过使用Symfony的验证组件删除标签？

在Symfony中保存数据库之前,我们应该使用一般的提示或方法吗？

1> Jakub Zalas..：

首先阅读什么是SQL注入.

当SQL中的值改变查询时,会发生SQL注入攻击.结果,查询执行了它打算执行的其他操作.

示例将使用edouardo'OR'1'='1作为将导致以下结果的值:

(所以情况总是如此).

" eduardo "是一个完全有效的值.在某些情况下,您需要将其另存为提交(例如内容管理系统).当然,当你从数据库中取出并直接输出时,它可能会破坏你的HTML.这应该通过你的模板引擎来解决(树枝会自动逃脱它).

如果在将表单从表单传递到实体之前需要流程数据,请使用数据转换器.