YII束插入 - 避免SQL注入

I insert big chunks of data to DB (~ 500) in the loop ( there are nearly 20000 or more records in total):

            $builder = Yii::app()->db->schema->commandBuilder;
            $command = $builder->createMultipleInsertCommand('product_supplier',
                  $dataToDb
            );
            $command->execute();

Using AR one can use validate() method to ensure that data are valid and AFAIK model escapes all dangerous data.

I would like to avoid to be SQL-injected.

Should I escape all data on my own when I use multiple insert or Yii takes care about it ?

Is it good idea to use standard PHP function "mysqli_escape_string " ?

I feel unsure how good it is.

Thanks.

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dpftppc9674 2015-05-21 16:09
关注
The CDbCommand::createMultipleInsertCommand() method uses param binding, so it's safe.

ActiveRecords also use param binding and there's no extra escaping as it is not required.

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

如何在Yii 1.1中保护原始sql CDbCriteria条件（反sql注入）？ php sql
2018-04-26 09:38

回答 1 已采纳 You should use params to pass untrusted data to query. Note that %, _ and \ chars has special mean
Bootstrap年历yii2扩展 - 月解析问题 javascript php
2018-01-28 16:31

回答 1 已采纳 There looks to be a logical fault in the Helper JsExpressionHelper and that needs a fix in the met
为foreach（）yii-app-basic提供的参数无效 php
2015-10-19 12:24

回答 3 已采纳 From what I can see, you're passing in the PHP code to your config file, instead of passing in a c
YII Framework学习教程-YII的Model-数据库操作3-自定义的DAO操作
2013-07-31 20:17

denialyii的博客虽然我们可以使用CActvieReord完成大部分对数据库的操作。...所以YII同时允许我们可以自己连接数据库，组织查询语句，执行查询语句，获取查询结果。这样可以让我们灵活的选择使用哪一种方式。
YII2 Kartik - ExportMenu仅使用选中项目导出数据 javascript php
2017-12-05 06:17

回答 1 已采纳 Add a column to your columns onfiguration with this param: [ 'class' => 'kartik\grid\Check
为yii2设置yii2-jeasyui php
2015-07-31 16:29

回答 2 已采纳 In case somebody have the same problem, this can help. The problem is due to the composer file spe
Yii：模型 - >保存 - 不可预测的保存 php
2015-10-14 22:00

回答 2 已采纳 You need to name submit buttons to contain info about object it's related to print('<i
yii2项目实战-博客管理平台的搭建
2017-04-27 14:16

guangsuxiaoqi的博客 SQL 其它 * 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场 var fileName = '52198720'; var commentscount = 0; var islock = false $(function () { $("#ad_frm_0")....
yii2 - 如何从控制台截断表 php
2016-02-17 15:10

回答 3 已采纳 Yii::$app->db->createCommand()->truncateTable('user')->execute();
Yii2 Gridview - 如何在页脚属性上使用总计 php
2015-01-17 19:30

回答 5 已采纳 it's works 1. create class then 2.create column array, 3.configure column, 4.configure grid names
Yii booster TbImageColumn - 设置图像属性 php
2014-03-21 14:36

回答 1 已采纳 Digging through the code it seems there is an attribute for setting html attributes to the generat
mysql优化sql相关（持续补充）
2019-03-27 10:42

铁柱同学的博客此处为博主在开发中遇到的优化mysql 的笔记，记录下来也是为了方便自己查阅，在每次写完或者要写sql之前都看一看，仅作记录。以下也都是博主在开发中遇到并优化的过程，踩坑不计其数，也许只有这样才能变得强大吧。 ...
yii2 - 获取URL参数 php
2017-11-30 06:05

回答 1 已采纳 Suggestion if ($searchModel->load(Yii::$app->request->get())) { $dateFrom = $searchM
yii快速入门教程------9
2014-03-11 04:20

astarblog的博客 } 5、绑定参数要避免 SQL 注入攻击并提高重复执行的 SQL 语句的效率，你可以 "准备(prepare)"一条含有可选参数占位符的 SQL 语句，在参数绑定时，这些占位符将被替换为实际的参数。参数占位符可以是命名的 (表现...
Yii 11.17 数据库相关操作说明
2018-04-28 10:54

小俊侠的博客示例：$result = array( 'id'=>null, 'val'=>0 ); $row1 = Yii::app()->db->createCommand()->insert('test1', $result);...$id = Yii::app()-&...$row2 = Yii::app(...
没有解决我的问题, 去提问

悬赏问题

¥50 易语言把MYSQL数据库中的数据添加至组合框
¥20 求数据集和代码#有偿答复
¥15 关于下拉菜单选项关联的问题
¥20 java-OJ-健康体检
¥15 rs485的上拉下拉，不会对a-b<-200mv有影响吗，就是接受时，对判断逻辑0有影响吗
¥15 使用phpstudy在云服务器上搭建个人网站
¥15 应该如何判断含间隙的曲柄摇杆机构，轴与轴承是否发生了碰撞？
¥15 vue3+express部署到nginx
¥20 搭建pt1000三线制高精度测温电路
¥15 使用Jdk8自带的算法，和Jdk11自带的加密结果会一样吗，不一样的话有什么解决方案，Jdk不能升级的情况