Ich verwende den Doctrine QueryBuilder in meinem Silex-Projekt. Ich erstelle eine Abfrage, die vollständig auf Benutzereingaben basiert. Die Parameter sind mit der Funktion setParameter()
ausgeblendet. Aber wie wäre es mit der addSelect()
?Doctrine QueryBuilder addSelect mit Benutzereingabe
Das kann ich nicht herausfinden, sparen ist es, so etwas zu tun:
$stmt = $this->conn->createQueryBuilder()
->addSelect("`".$userinputCol1."`")
->addSelect("`".$userinputCol2."`")
->from('`mytable`')
->where('id = :id')
->setParameter('id', $userinputId)
->execute();
Wird diese SQL-Injektion in der SELECT verhindern?
Können Sie einen Parameter nicht verwenden? 'addSelect (': userInputCol1')' – Veve
@Veve Nein. Dann wird es in einfachen Anführungszeichen maskiert – Timo002