Безопасный ли запрос?

Question

[Андрей Прозоров]

Заранее прошу прощения за тупой вопрос. Все когда то задавали тупые вопросы.

Безопасный ли запрос такого вида
Model::find()->where(["=", "city", $_COOCKIE['city']])->all();

и такой save
$model->city = $_COOCKIE['city'];
$model->save();

И если нет что же с этим делать (как вы понимаете если на сайв можно задать правила валиадации то на where правил валидации нет)

Comments

[AlikDex]

Ну во первых в yii2 есть обработчик кук www.yiiframework.com/doc-2.0/guide-runtime-session...
Раздел COOKIES.

А во вторых, если пришедшие данные проходят ваши правила валидации, значит они безопасны (если правила корректны, разумеется).

[Андрей Прозоров]

AlikDex: ну с валидацией понятно. where не проходит валидацию

[AlikDex]

Андрей Прозоров: ну так должны перед запросом проходить. Кто ж в здравом уме будет сырые данные в запросы совать?
К тому же кук может не существовать, тогда уй выдаст ошибку.

Answer 1

[Максим Федоров]

Безопасный ли запрос такого вида
Model::find()->where(["=", "city", $_COOCKIE['city']])->all();

вставлять данные полученные от пользователя в запрос - это плохая практика и лучше так вообще не делать. Что касается безопасности - SQL-инъекцию в запросе такого вида сделать не получиться, т.к. встроенный строитель запросов экранирует данные.

и такой save
$model->city = $_COOCKIE['city'];
$model->save();

тут все зависит от множества факторов: от того какой тип данных может принимать атрибут, какие правила валидации для него предусмотрены в модели, что Вы делаете дальше с этим атрибутом (как экранируете его на выводе). Например, если параметр может принимать строку и в модели Вы его валидируете как простую строку, но при этом нигде не экранируете его вывод - это уже дыра в безопасности

Answer 2

[Максим Тимофеев]

Безопасный ли запрос?

нет

что же с этим делать

пускать через валидацию