PHP ORM - Безопасность Redbean?

Я думаю об использовании RedBean в качестве ORM-сопоставителя. В настоящее время я использую свою собственную реализацию, которая работает не очень хорошо, поскольку проект становится все больше и сложнее.

Однако есть один вопрос, который я не могу найти:
Насколько безопасен RedBean с точки зрения того, что кто-то вводит код/запросы/ложные данные?

Допустим, я хочу использовать базу данных MySQL в фоновом режиме и получаю входящие данные через POST. Можно ли выполнить MySQL-инъекцию с вредоносными POST-данными? Должен ли я сам экранировать входящие данные или RedBean делает что-то подобное в фоновом режиме? Должен ли я вообще беспокоиться о чем-то подобном, если я использую ORM в качестве абстракции базы данных?

Я не планирую сокращать Redbean, обрабатывая операторы MySQL непосредственно над ним. Так что это, вероятно, не будет проблемой.


mysql php security orm redbean
person MOnsDaR    schedule 11.03.2013    source источник
comment
Если ваш ORM не поддерживает экранирование, его не стоит использовать. Хороший призыв к использованию проверенного в полевых условиях ORM, а не собственного домашнего решения. Также стоит проверить Laravel Eloquent ORM, который, как и остальная часть проекта Laravel, кажется быть действительно твердым.   -  person tadman    schedule 27.01.2015

Ответы (2)


arrow_upward
4
arrow_downward

Я нашел ответ сам (в определенной степени):

There is no need to use mysql_real_escape as long as you use parameter binding.
Use the question mark slots or the named slots as shown in the examples.
Please don't use your own homebrewn escaping functions.

Источник
В разделе "Преобразование записей в Beans".

person MOnsDaR    schedule 11.03.2013

arrow_upward
1
arrow_downward

Вы ответили себе правильно, но также обратите внимание на следующий пост: PDO MySQL: использовать PDO::ATTR_EMULATE_PREPARES или нет?

person Kevin Op den Kamp    schedule 18.04.2013