关于防sql注入，请教各位朋友。谢谢。 - 问答 - Yii Framework 中文网

xjdata 2015-06-25 00:49:57 9092次浏览 3条回答 0 悬赏 100 金钱

AR中有很多方法。

比如

model->findone(['id'=>1]);

请问这个查询，yii是否进行了参数化？

再比如

model->find()->where(['in','id','1,3,6']);

同上，现在自己写点小东西，越写心里越没谱，还希望有经验的帅哥们指导下，谢谢，如果上述方法框架自身没有进行参数化，那么现在趁早就全部改用参数方式来写了。免得最后害死人。

sql注入 yii2 安全

最佳答案

naivefang 发布于 2015-06-25 09:16 举报
yii\db\Command.php里面在createCommand的时候，会默认用bindValue对参数进行处理，所以你可以放心的用上述写法而不用担心注入问题。
```
    /**
     * Binds pending parameters that were registered via [[bindValue()]] and [[bindValues()]].
     * Note that this method requires an active [[pdoStatement]].
     */
    protected function bindPendingParams()
    {
        foreach ($this->_pendingParams as $name => $value) {
            $this->pdoStatement->bindValue($name, $value[0], $value[1]);
        }
        $this->_pendingParams = [];
    }
```
共 3 条回复
xjdata 回复于 2015-06-25 13:01 回复
我想继续追问下。手册中对于防注入专门的提醒，是在querybulider中的。

那就是说用findbysql，或者等自己拼接sql的时候进行参数化处理。是不是可以理解为一般情况下，基于AR的可以放心，呃....findbysql。貌似不行，算了我去翻源码。多谢帅哥。

naivefang 回复于 2015-06-25 13:07 回复
@xjdata 是的，如果自己拼接的sql，而非数组的形式传条件参数时，你就需要在拼接的时候注意SQL注入了。

xjdata 回复于 2015-06-25 16:01 回复
@naivefang 谢谢你。

luoxiao , 惪→♂啸 , strive , 桃筱筱 , 大裤衩子 , ╃巡洋艦㊣觉得很赞
回复 6 0

第十九层空间回答于 2015-06-25 09:55 举报

这个你不用担心啊，Yii的AR对sql注入的预防做的挺好的，而且本来就是基于PDO的

xjdata 觉得很赞

回复 1 0
白狼栈回答于 2016-04-16 15:41 举报

Yii自带的AR操作底层是基于pdo进行实现的，sql注入的问题不必担心，但是自己写sql之类的还是要很谨慎，建议用占位。参考博文 yii过滤xss代码，防止sql注入教程

回复 0 0

您需要登录后才可以回答。登录 | 立即注册

CEO

xjdata

注册时间：2011-12-07
最后登录：2021-07-09
在线时长：112小时28分

粉丝23
金钱14169
威望75
积分16039

热门问题