[SF][Symfony][Doctrine]Kilka pytań

[SF][Symfony][Doctrine]Kilka pytań

mat-bi Zobacz profil	28.02.2011, 22:41:03 Post #1
Grupa: Zarejestrowani Postów: 690 Pomógł: 92 Dołączył: 6.02.2011 Ostrzeżenie: (0%)	Witam, Korzystam z SF 1.4 i Doctrine 1.2. Zawsze uważałem, że dzięki ORM nie muszę martwić się o SQL Injection, jednak gdzieś przeczytałem(nie podam linku, bo nei pamiętam), że to nic nie daje. jak to w końcu jest? I drugie pytanie - jak jest z bezpieczeństwem sesji w symfony?

Odpowiedzi

Crozin Zobacz profil	28.02.2011, 23:40:33 Post #2
Grupa: Zarejestrowani Postów: 6 476 Pomógł: 1306 Dołączył: 6.08.2006 Skąd: Kraków Ostrzeżenie: (0%)	Doctrine korzysta z prepared statements, które o ile jawnie nie wpleciesz jakieś niezaufanej treści w treść zapytania w pełni zabezpieczają przed SQL Injection (więcej w google). Do tego dochodzi jeszcze fakt, że nie tworzysz (z reguły) bezpośrednio zapytań SQL, a DQL więc to kolejna warstwa chroniąca Cię przed potencjalnym atakiem. Nie mniej jednak zrobienie czegoś takiego: [PHP] pobierz, plaintext $dql = 'SELECT ... WHERE abc.def = ' . $jakaśZmienna . ' ... ' [PHP] pobierz, plaintext Już może umożliwić atak. Cytat I drugie pytanie - jak jest z bezpieczeństwem sesji w symfony? Sesja w Sf jest na tyle bezpieczna na ile bezpieczny jest jej sterownik. Domyślnie masz włączony natywny sterownik PHP z regeneracją ID.