2

RedBean を ORM マッパーとして使用することを考えています。現在、私は独自の実装を使用していますが、プロジェクトが大きく複雑になっているため、うまく機能しません。

しかし、私が見つけられない質問が 1 つあります。
誰かがコード/クエリ/偽のデータを挿入するという点で、RedBean はどの程度安全ですか?

バックグラウンドで MySQL データベースを使用したいとしましょう。POST 経由で受信データを取得しています。悪意のある POST データで MySQL インジェクションを実行することは可能ですか? 受信データを自分でエスケープする必要がありますか、それとも RedBean がバックグラウンドでそのようなことを行いますか? データベースの抽象化として ORM を使用している場合、一般的にそのようなことを心配する必要がありますか?

MySQL ステートメントを直接処理して Redbean をショートカットするつもりはありません。したがって、これはおそらく問題にはなりません。

4

2 に答える 2

4

私は自分で答えを見つけました(ある程度):

There is no need to use mysql_real_escape as long as you use parameter binding.
Use the question mark slots or the named slots as shown in the examples.
Please don't use your own homebrewn escaping functions.

ソース
「Converting Records to Beans」セクションの下。

于 2013-03-11T16:23:39.747 に答える
1

あなたは自分自身に正しく答えましたが、次の投稿にも注意してください: PDO MySQL: Use PDO::ATTR_EMULATE_PREPARES or not?

于 2013-04-18T09:12:27.933 に答える