SQL-инъекция

[shkarbatov]

Читал вот на сайте yii:
http://yiiframework.ru/doc/guide/ru/database.ar

Код: Выделить всё

$post->title=$_POST['title'];
$post->content=$_POST['content'];
$post->save(); 

На сколько корректно так делать? Я об SQL-инъекциях.

[shkarbatov]

Увидел ниже:

Безопасное присваивание значений атрибутам
http://yiiframework.ru/doc/guide/ru/for ... ssignments

$model->attributes=$_POST['LoginForm'];

Я так понимаю, что через атрибуты можно безопасно сохранять данные? И не понятно, зачем на сайте писать не безопасный пример, многие ведь так и сделают =)

[maleks]

то не относится к SQL инъекции.
SQL инъекции не будет полюбому т.к. запрос вы же не вручную создаете.

Тут имеется ввиду прошли ли введенные данные правила модели.

[vitalik1183]

Вы веткой не ошиблись? Тут про 2 ветку речь.

[shkarbatov]

Что-то я совсем запутался, получается, что так надо писать?

Код: Выделить всё

User::find()
    ->where(['username' => $_POST['user_name']])
    ->one();

[maleks]

да кто ж в открытую использует голое $_POST['user_name'] ?
Оно ж варнинг выкинет если нет поля или хакер например его из DOM-а бахнул.

Насчет sql инъекций то там не будет ее, yii2 переделает тот синтаксис на подготовленный запрос, в логи гляньте

[shkarbatov]

Ну то понятно, я просто хотел подчеркнуть этим вопрос об SQL =)
Спасибо.