PHP ORM - Redbean 的安全性?

【问题标题】:PHP ORM - Security of Redbean?PHP ORM - Redbean 的安全性?
【发布时间】:2013-02-26 15:01:00
【问题描述】:

我正在考虑使用 RedBean 作为 ORM 映射器。目前我正在使用我自己的实现,随着项目变得越来越大和越来越复杂,效果不太好。

但是有一个我无法找到的问题:
RedBean 在有人注入代码/查询/虚假数据方面有多安全?

假设我想在后台使用 MySQL 数据库,并且通过 POST 获取传入数据。是否可以使用恶意 POST 数据执行 MySQL 注入?我是否必须自己转义传入的数据,还是 RedBean 在后台执行类似的操作?如果我使用 ORM 作为数据库抽象,我是否需要担心类似的事情?

我不打算通过直接在 Redbean 上处理 MySQL 语句来缩短 Redbean。所以这可能没有问题。

【问题讨论】:

  • 如果您的 ORM 不处理转义,则不值得使用。很好地呼吁使用经过现场测试的 ORM 而不是您自己的自制解决方案。同样值得一试的是Laravel Eloquent ORM,与 Laravel 项目的其他部分一样,它似乎非常可靠。

标签: php mysql security orm redbean


【解决方案1】:

我自己找到了答案(在一定程度上):

There is no need to use mysql_real_escape as long as you use parameter binding.
Use the question mark slots or the named slots as shown in the examples.
Please don't use your own homebrewn escaping functions.

Source
在“将记录转换为 Bean”部分下。

【讨论】:

    【解决方案2】:

    您的回答正确,但也请注意以下帖子:PDO MySQL: Use PDO::ATTR_EMULATE_PREPARES or not?

    【讨论】:

      猜你喜欢
      • 2011-12-07
      • 2011-06-07
      • 1970-01-01
      • 2023-03-06
      • 2014-04-11
      • 1970-01-01
      • 2012-02-06
      • 1970-01-01
      • 2012-07-12
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode