Propel ORM文档提到了使用诸如fromArray和fromJSON之类的函数的整洁的导入/导出功能,该功能应允许如下所示:
$foo = new Widget(); $foo->fromArray($_POST); $foo->save(); /* Aaand you're done! */
…但是文档没有提及是否应该以这种方式使用fromArray是安全的,即fromArray是否可以处理不受信任的输入。我的猜测是可以的- 默认设置器是防注入的,并且整个交易都基于PDO-但我想确定。
Propel不仅使用PDO进行查询,还通过PDO利用了预处理语句,这在缓解SQL注入攻击(以及增强性能)方面非常出色。
请注意, 仅 使用PDO不能保证对SQL注入没有任何保护,请始终使用Prepared Statements。
因此,作为对您问题的回答,是的,Propel充分利用了PDO的功能来防止SQL注入。
