Sherloc_L
感觉大多数情况下AR已经做了一些安全防sql 处理,具体的方法使用时,还得先看源码注释
自己看源码,有些function还是要自己处理的
例如 如下注释,可以知道该方法可以使用绑定参数的形式@param array $params parameters to be bound to the SQL statement during execution.
@return ActiveQuery the newly created [[ActiveQuery]] instance
*/
public static function findBySql($sql, $params = [])
{
$query = static::find();
$query->sql = $sql;return $query->params($params);
}