yii2随笔(五):mysql 防注入 实现 mysql_real_escape_string 功能

用yii2写程序时,一般的简单的sql用yii2封装好的DB库http://www.yiichina.com/doc/guide/2.0/db-dao#w0-6,但是如果不得不写比较复杂的sql,或者你的sql功力足够强大,那么你更愿意自己写sql,是在不再想研究 yii2 封装的DB,总感觉用起来麻烦,那么放sql注入是很重要的,yii2使用的是 Yii::$app->db->quoteValue() (等价 PDO::quote) ,用例如下:

//..else code
$where['channel'] = Yii::$app->db->quoteValue($channel);
//..else code
$all = Yii::$app->db->createCommand($sql)->queryAll();
此条目发表在yii2分类目录。将固定链接加入收藏夹。