【发布时间】:2019-06-18 14:20:15
【问题描述】:
我们使用学说 2 并希望编写这样的参数化代码:
attributes @> \'{' . $con->quote($attrId) . ':' . (int)$value . '}\'';
有这样的查询:
WHERE attributes @>'{"color":14}';
"color" 是属性的自定义(用户选择)名称。所以我觉得quote()是一个合适的屏蔽功能。但是它用单引号包裹了一个参数,导致请求语法不正确。
quoteIdentifier() 函数用双引号括起来,但我不确定在这种情况下使用它是否正确。
如何构建安全的代码来获取我需要的请求?
【问题讨论】:
标签: php postgresql doctrine-orm doctrine doctrine-orm-postgres