Защищает ли expr()->literal() от SQL инъекции?

Question

[Never Ever]

Делают фильтр и возникли сомнения насчет такого решения. Возможно ли SQL инъекция ? Если да то как решить.

$orStatements = $this->queryBuilder->expr()->orX();
foreach ($result as $value) {
    $orStatements->add(
        $this->queryBuilder->expr()->like('table.column', $this->queryBuilder->expr()->literal('%' . $value . '%'))
    );
}
$this->queryBuilder->andWhere($orStatements);

Answer 1

[sl0]

https://www.doctrine-project.org/projects/doctrine...

You are NOT safe from SQL injection when using user input with:

Expression API of Doctrine\ORM\QueryBuilder
Concatenating user input into DQL SELECT, UPDATE or DELETE statements or Native SQL.

Comments

[Never Ever]

окей, я понял, а как тогда тут экранировать в моем случае ? setParametr не работает

[BoShurik]

Never Ever, а как вы пытаетесь setParameter использовать? По идеи должен работать