使用参数,而不是直接在查询字符串将值做是为了防止SQL注入攻击,应始终做到:
?
... WHERE p.name > :name ......在使用表单(FOS的注册表单)时,我eduardo改为使用标签将其保存到数据库中.我真的不明白为什么使用参数可以防止SQL注入......
为什么标签会像这样持久存储到数据库中?...当SQL中的值改变查询时,会发生SQL注入攻击.结果,查询执行了它打算执行的其他操作.
示例将使用edouardo'OR'1'='1作为将导致以下结果的值:
?...如果在将表单从表单传递到实体之前需要流程数据,请使用数据转换器.
2> greg0ire..:
如果在创建请求时使用参数而不是连接,则程序可以分别告诉SQL关键字和值.因此,它可以安全地转义可能包含恶意...HTML代码注入是另一个问题,与数据库无关.通过使用自动输出转义显示值时,此问题得以解决,而自动输出转义将显示eduardo而不是eduardo.这样,任何恶意的js/html代码都不会被解释:它将被显示