Идиорм ПДО подготовил заявление

Question

Идиорм ПДО подготовил заявление

Я хочу использовать следующий идиорм (orm): https://github.com/j4mie/idiorm.

Это показывает следующее:
Построен на вершине PDO.
Повсеместно используются подготовленные операторы для защиты от атак SQL-инъекций.

Теперь в https://github.com/j4mie/idiorm/blob/master/idiorm.php я не вижу использования подготовленного утверждения, поэтому мой вопрос:> Если я использую следующий код, использую ли я orm+pdo подготовил заявления о том, что я защищен от SQL-инъекций:

require_once 'idiorm.php';
ORM::configure(array(
    'connection_string' => 'mysql:host=localhost;dbname=my_database',
    'username' => 'database_user',
    'password' => 'top_secret'));
ORM::configure('return_result_sets', true);
ORM::configure('driver_options', array(PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8'));
ORM::configure('error_mode', PDO::ERRMODE_EXCEPTION);

$people = ORM::for_table('person')
                ->where(array(
                    'name' => $_POST["name"],
                    'age' => $_POST["age"]
                ))
            ->find_one();

2

php pdo sql-injection idiorm

Источник

user7770936 02 май '17 в 09:19

1 ответ

Решение

Другие вопросы по тегам php pdo sql-injection idiorm

user1992780 06 май '17 в 13:16 2017-05-06 13:16 · Accepted Answer · 2017-05-06 13:16

Да, Idiorm использует подготовленные операторы, и вы должны быть защищены от атак SQL-инъекций.

Вы можете проверить _execute метод, который вызывается при выполнении запроса. Оно использует bindParam способ прикрепить параметры.

2

Источник

user1992780 06 май '17 в 13:16