AR中有很多方法。
比如
model->findone(['id'=>1]);
请问这个查询,yii是否进行了参数化?
再比如
model->find()->where(['in','id','1,3,6']);
同上,现在自己写点小东西,越写心里越没谱,还希望有经验的帅哥们指导下,谢谢,如果上述方法框架自身没有进行参数化,那么现在趁早就全部改用参数方式来写了。免得最后害死人。
yii\db\Command.php里面在createCommand的时候,会默认用bindValue对参数进行处理,所以你可以放心的用上述写法而不用担心注入问题。
这个你不用担心啊,Yii的AR对sql注入的预防做的挺好的,而且本来就是基于PDO的
Yii自带的AR操作底层是基于pdo进行实现的,sql注入的问题不必担心,但是自己写sql之类的还是要很谨慎,建议用占位。参考博文 yii过滤xss代码,防止sql注入教程
