这样写条件会不会被SQL注入? [ 新手入门 ]

webyjh 2012-01-11 19:45:27 4413次浏览 2条回复 0 0 0 
public function actionSearchResult() {
    if (isset($_GET['SearchForm'])) {
        //接收表单传过来的关键字
        $keywords = $_GET['SearchForm']['keywords'];
        $dataProvider = new CActiveDataProvider('Downloads', array(
            'criteria' => array(
                'condition' => 'title like "%' . $keywords . '%"',
                'order' => 'id DESC',
            ),
        ));
    $this->render('searchResult', array('dataProvider' => $dataProvider));
    }
}

关键字$keywords会不会被SQL注入呢?

sql

2 条回复

默认排序

回复话题

您需要登录后才可以回复。登录 | 立即注册
webyjh
经理

webyjh

注册时间:2011-12-12
最后登录:2016-10-06
在线时长:1小时45分
  • 粉丝2
  • 金钱1090
  • 威望0
  • 积分1100
私信

热门话题