Задать вопрос
Target1
@Target1
symfony

Защищает ли expr()->literal() от SQL инъекции?

Делают фильтр и возникли сомнения насчет такого решения. Возможно ли SQL инъекция ? Если да то как решить. 
$orStatements = $this->queryBuilder->expr()->orX();
foreach ($result as $value) {
    $orStatements->add(
        $this->queryBuilder->expr()->like('table.column', $this->queryBuilder->expr()->literal('%' . $value . '%'))
    );
}
$this->queryBuilder->andWhere($orStatements);
  • Вопрос задан
  • 440 просмотров
Комментировать
Подписаться 2 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 1
@sl0
https://www.doctrine-project.org/projects/doctrine...

You are NOT safe from SQL injection when using user input with:

Expression API of Doctrine\ORM\QueryBuilder
Concatenating user input into DQL SELECT, UPDATE or DELETE statements or Native SQL.
Ответ написан
2 комментария
2 комментария
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
PHP Developer (Symfony)
Bell Integrator
До 300 000 ₽
PHP/Symfony программист
Венста Киров
от 220 000 ₽
PHP-разработчик (Symfony)
IRLIX
от 150 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Создание и публикация короткого (reels) UGC-видео на YouTube-канале
25 апр. 2024, в 01:46
500 руб./за проект
Настроить перехват https-трафика для android-приложения
25 апр. 2024, в 01:02
10000 руб./за проект
Программа (скрипт) для автоматизации торговли Solana
25 апр. 2024, в 00:45
100 руб./в час
Ещё заказы