Задать вопрос
Target1
@Target1
symfony

Защищает ли expr()->literal() от SQL инъекции?

Делают фильтр и возникли сомнения насчет такого решения. Возможно ли SQL инъекция ? Если да то как решить. 
$orStatements = $this->queryBuilder->expr()->orX();
foreach ($result as $value) {
    $orStatements->add(
        $this->queryBuilder->expr()->like('table.column', $this->queryBuilder->expr()->literal('%' . $value . '%'))
    );
}
$this->queryBuilder->andWhere($orStatements);
  • Вопрос задан
  • 467 просмотров
Комментировать
Подписаться 2 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 1
@sl0
https://www.doctrine-project.org/projects/doctrine...

You are NOT safe from SQL injection when using user input with:

Expression API of Doctrine\ORM\QueryBuilder
Concatenating user input into DQL SELECT, UPDATE or DELETE statements or Native SQL.
Ответ написан
2 комментария
2 комментария
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Middle PHP разработчик (Symfony, микросервисы, удаленка)
ДВИЖ Москва
от 240 000 до 280 000 ₽
PHP Symfony Developer
Systeme.io
от 250 000 до 350 000 ₽
Senior Backend Developer / Старший разработчик PHP (Symfony)
Webbankir
До 350 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Сборка приложения под Astra Linux 1.7
22 нояб. 2024, в 13:33
7000 руб./за проект
На сайте на modx сделать три задачи
22 нояб. 2024, в 13:15
3000 руб./за проект
Убрать ошибку settings.php при входе в админку Битрикс 1с
22 нояб. 2024, в 13:09
500 руб./за проект
Ещё заказы