drzdu44226 2013-08-18 16:34
浏览 49
已采纳

我是否需要使用Doctrine查询来转义Symfony2上的字符串?

I've this code:
I get some data from a GET request:

$username = $request->get('username');

And then, I use doctrine to check if this username exists or not:

$found = $em->getRepository('Bundle:Users')->findByNick($username);
            if ($found){
               //nickname in use
            } else {
               //not found
            }

As you can see, I've no String escaping, so the value is directly sent to Doctrine. Is this a security issue? Should it be slashed for security reasons?
Note that I never use RAW queries, just prebuild ones from Doctrine.

  • 写回答

1条回答 默认 最新

  • duanlushen8940 2013-08-18 16:53
    关注

    There's no need to do it with prepared statements.

    You can read here:http://docs.doctrine-project.org/projects/doctrine-dbal/en/latest/reference/security.html

    And I've tried it out. This is the query generated by Doctrine:

    WHERE t0.nick = 'dasdfaf\\' OR 1'

    As you can see, several slashes were added.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

  • Symfony查询方法实例小结
    2020-10-19 15:33
    `createQuery`接受一个字符串参数,该参数是SQL查询语句。在这里,我们使用了`:status`作为参数占位符,这允许我们在运行时动态替换为实际值。这样做不仅可以使代码更灵活,还可以避免SQL注入攻击,因为`set...
  • php doctrine datetime,php – doctrineSymfony 2中的DateTime字段
    2021-05-01 10:05
    张程初号机的博客 我对Symfony2很新,并设置了一个表单,通过doctrine将日期时间数据输入MySQL数据库,但是我收到以下错误:The form's view data is expected to be of type scalar, array or an instance of \ArrayAccess, but is an ...
  • Symfony学习笔记之翻译组件-----translation总结
    2019-03-19 15:29
    ppxin的博客 “过际化”(internationalization,常被简写为i18n),是指将字符串和其他一些具有区域特征的片段,从你的程序中提取(abstract)出来,并基于用户所在区域(比如语言、国家)而将其置于一个能被翻译和转化的层的...
  • symfony3.4 简单使用 请自己动手操作 环境是wamp
    2019-01-09 14:58
    lvhaizhen的博客 composer create-project symfony/framework-standard-edition project 指定版本 composer create-project symfony/framework-standard-edition project "3.4.2"   遇到错误 F...
  • productifes2
    2021-02-27 07:56
    - 数据类型:包括字符串、整型、浮点型、布尔型、数组、对象、NULL等。 - 控制结构:if...else、switch、for、while等用于控制程序流程。 - 函数:自定义函数、内置函数,如`strlen()`计算字符串长度,`count()`...
  • 2019年PHP与Symfony专业讲座系列
    2025-05-03 14:05
    Msura的博客 创建自定义事件允许应用在特定的行为发生时执行自定义逻辑。例如,创建一个来处理用户注册事件:然后创建一个监听器来响应这个事件:// 发送欢迎邮件给新注册...Symfony框架中的路由负责将HTTP请求映射到相应的控制器。
  • php开源翻译,翻译 - Symfony开源 - Symfony中国
    2021-04-22 11:59
    工程求知者的博客 “国际化”(internationalization,常被简写为i18n),是指将字符串和其他一些具有区域特征的片段从你的程序中提取(abstract)出来并基于用户所在区域(比如语言、国家)而将其置于一个能被翻译和转化的层的过程。...
  • Symfony安全编码:防止安全漏洞的最佳实践
    2025-10-02 03:48
    计泽财的博客 是否还在为Web应用的安全漏洞担忧?...本文将带你深入了解Symfony框架中防止安全漏洞的最佳实践,读完你将能够: ...- 了解Symfony安全组件的核心功能和使用方法 ## 密码安全:哈希存储而非明文 密码安全是Web应...
  • PHP简单预防sql注入的方法
    2020-10-21 10:50
    尽量避免使用字符串连接构造SQL语句,如`"SELECT * FROM table WHERE id = '$id'"`。使用参数化查询或预处理语句代替。 6. 输入验证: 在使用任何SQL函数之前,对用户输入进行验证,确保其符合预期的格式。例如,...
  • PHP登录环节防止sql注入的方法浅析
    2020-10-25 17:25
    在处理GET和POST数据时,应通过特定的函数对数据进行处理,例如判断数据类型是整型还是字符串,并进行相应的转义或清理。例如,可以将函数get_int()用于过滤整数类型的数据,而将函数get_str()用于过滤字符串类型的...
  • 2024年php最新面试题汇总及答案
    2024-05-06 11:41
    静水流深497的博客 8. **register_long_arrays**:已在PHP 5.4.0中废弃,用于决定在请求中是否将数值索引的数组注册为全局变量。5. **$_SESSION vs $_COOKIE**:$_SESSION用于服务器端存储数据,$_COOKIE用于客户端存储数据。4. **$_...
  • Composer安装、入门+Autoload机制详解
    2021-12-01 14:07
    Runnings Man的博客 一、安装 【comoser.phar】 comoser.phar是 composer的可执行文件,当前目录安装composer...下载并使用composer-setup.exe安装程序或者crul命令手动安装(手动安装并不会检查该系统是否满足composer的安装先决条件)
  • yaml语法
    2017-03-29 21:20
    xiaomin_____的博客 大多数的symfony配置文件使用YAML格式。YAML 官方网站称 YAML 是“一种所有编程语言可用的友好的数据序列化标准”。 YAML 是一种轻量化的数据描述语言。类似于 PHP, YAML一样具有轻量化的语法与数据类型,如字符串...
  • 《网络同居交友程序(爱情公寓) Build 0425》源码分析与实战
    2024-10-05 16:50
    mater lai的博客 随后的ES6+版本又陆续增加了更多强大的特性,如async/await、解构赋值、模板字符串等,极大提升了JavaScript的编写效率和执行性能。 4.2 前端框架的对比与选择 4.2.1 Vue.js的响应式原理与优势 Vue.js是一个流行的...
  • PHP手册.zip
    2012-01-14 11:11
    2. **数据类型**: 包括字符串、整型、浮点型、布尔型、数组、对象、NULL和资源类型。 3. **流程控制**: 包含条件语句(if...else...)、循环语句(for、while、do...while、foreach)和开关结构(switch)。 4. **...
  • PHP Doctrine ORM 持久化(一)
    2025-09-08 00:48
    绝不原创的飞龙的博客 它与 Symfony2 框架的标准版一起分发,可以独立在任何 PHP 项目中使用,并与 Zend Framework 2,CodeIgniter 或 Laravel 集成得非常好。它高效,自动抽象出流行的数据库管理系统,支持 PHP 5.3 功能(包括命名空间)...
  • php学习手册
    2008-05-29 21:44
    3. **字符串和数组操作**:PHP提供了丰富的字符串处理函数和数组操作方法,如字符串拼接、查找替换、数组遍历、排序等。 **二、PHP函数库** 1. **内置函数**:PHP内建了大量的函数,如数据类型转换函数、日期时间...
  • PHP之道 - php各方面的知识汇总
    2018-05-18 01:01
    weixin_30341745的博客 看到一个PHP的知识各方面的汇总,写的很有借鉴意义,搬过来了 ... 欢迎阅读 其他语言版本 ...使用当前稳定版本 (7.1) 内置的 Web 服务器 Mac 安裝 Windows 安裝 代码风格指南 语言亮点 ...
  • 没有解决我的问题, 去提问