0
甲DQL查询样品学说2 DQL安全
<?php
$query = $em->createQuery('SELECT u FROM ForumUser u WHERE u.username = :name');
$query->setParameter('name', 'Bob');
$users = $query->getResult(); // array of ForumUser objects
上面的例子是,其中名称被设置给Bob一个parametized查询。当我试图在我们的项目中查看代码安全性时,我想问一下原则社区的成员createQuery是否准备好了sql语句。
例如,是否将'OR 1 = 1--注入到'name'参数中,改变由entitymanager创建的查询?