使用哈希格式，Yii 在内部对相应的值进行参数绑定，与 字符串格式 相比， 此处你不需要手动添加参数绑定。但请注意，Yii 不会帮你转义列名，所以如果你 从用户端获得的变量作为列名而没有进行任何额外的检查，对于 SQL 注入攻击， 你的程序将变得很脆弱。为了保证应用程序的安全，请不要将变量用作列名 或者你必须用白名单过滤变量。如果你实在需要从用户获取列名，请阅读 过滤数据 章节。例如，以下代码易受攻击：

https://www.yiichina.com/doc/guide/2.0/db-query-builder#hash-format