投稿2018/01/18 02:27
編集2018/01/18 02:32お世話になります。
cakephp3でSQL文を作成する際にクォーテーション等の文字をエスケープしたいと考えています。
http://www.phppro.jp/phpmanual/php/mysqli.real-escape-string.html
こちらのサイトを参考に、
mysqli_real_escape_stringを使用することでエスケープすることができることがわかり
1つめの引数に接続先DBの情報を渡すこともわかりました。
その際にcakephpではbin/app.phpに設定が書かれていると思うのですが
それを活用することはできないのでしょうか?
直接指定してしまうとDBが変わった際にmysqli_real_escape_stringに渡す引数も変更をしなければならないのでは?と考えています。
できれば直接指定はしたくないためapp.phpで指定している内容を引用することはできないのでしょうか?
またcakephpにmysqli_real_escape_stringと同じような機能をもつ関数があるのでしょうか?
回答、アドバイス等よろしくお願いします。
補足:
環境としてはPHP 7.0.0以降を対象にしているため、
mysql_real_escape_stringは使用できない状態です。
回答2件
0
ベストアンサー
CakePHP3 で SQL を直で叩くならこんな感じになります。
PHP
1$conn = ConnectionManager::get('default'); 2$sql = <<< 'SQLEND' 3INSERT INTO test(no, name) VALUES (?, ?); 4SQLEND; 5 6$conn->execute($sql, [ '1', $nameValue ]);
この辺は
CakePHP クックブックのデータベースの基本に書かれているのでご一読ください。
投稿2018/01/18 06:51
総合スコア13703
0
ネット検索すると、
データのサニタイズ - 2.x
Sanitizeクラスってのがかつてあって、2.4以降非推奨、3.0以降削除となっているようです。
そのドキュメントに、
CakePHP は、Model::find() や Model::save() に対して 全てのパラメータで SQL エスケープ処理をします。まれにユーザ入力を使って SQL を手で組む必要がある場合、 準備済みステートメント を使用すべきです。
とあるので、プリペアドステートメントを使ってさえいればエスケープ処理をしなくても差し支えなさそうな感じです。
ステートメントとの対話
のあたりとか。
php - CakePHPのサニタイズの代わりに使えるおすすめのライブラリは? - スタック・オーバーフローの議論も参考に。
投稿2018/01/18 05:18
退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
Q&A
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/01/18 09:15