wenlife207
- wenlife207 收藏了教程Yii2 邮件发送
- wenlife207 2020-07-19 已签到连续签到1天,获得了5个金钱
- wenlife207 2020-05-14 已签到连续签到1天,获得了5个金钱
- wenlife207 2019-12-02 已签到连续签到1天,获得了5个金钱
- wenlife207 回复了 醉丶春风 的回答
使用哈希格式,Yii 在内部对相应的值进行参数绑定,与 字符串格式 相比, 此处你不需要手动添加参数绑定。但请注意,Yii 不会帮你转义列名,所以如果你 从用户端获得的变量作为列名而没有进行任何额外的检查,对于 SQL 注入攻击, 你的程序将变得很脆弱。为了保证应用程序的安全,请不要将变量用作列名 或者你必须用白名单过滤变量。如果你实在需要从用户获取列名,请阅读 过滤数据 章节。例如,以下代码易受攻击:
https://www.yiichina.com/doc/guide/2.0/db-query-builder#hash-format
非常感谢大神
- wenlife207 2019-11-26 已签到连续签到1天,获得了5个金钱
- wenlife207 提出了问题AR 绑定参数的问题
- wenlife207 2018-12-01 已签到连续签到1天,获得了5个金钱