CakePHP Paginierung SQL Injection

Question

Ich arbeite an einem CakePHP (Version 2.6.7) Projekt. Ich habe eine Suchseite, wo ein Nutzer ein Begriff, und die Ergebnisse angezeigt werden, wie so den CakePHP paginator mit:

$this->Paginator->settings['conditions']['Records.name like'] = '%'.$this->request->query['searched_term'].'%'; 
$this->set('results', $this->Paginator->paginate('Records')); 

Schützt Paginieren von SQL-Injektionen? $this->request->query['searched_term'] wird vom Benutzer eingegeben, so dass es nicht vertrauenswürdig ist und ich keine Informationen darüber finden kann, ob paginate SQL-Injektionen verhindert.

Ich bin bewusst, Sanitize::clean() aber es ist als abgeschrieben markiert. Soll ich es trotzdem benutzen? Wenn nicht, was sollte ich verwenden?

Answer 1

Am Ende gibt der Paginator Model::find() Anrufe aus, so ist es so sicher wie find() im Allgemeinen ist.

Und in der Regel wird alles (außer für Expression-Objekte) auf der Werteseite einer field => value Stil-Bedingung automatisch quoting/escaping unterliegen, also was Sie da zeigen, ist sicher.

Siehe auch

• Cookbook > Models > Retrieving Your Data > Complex Find Conditions
• API > DboSource::expression()