2016-07-24 23:17:11
小贼
|
按照zentaoPHP手册里对Dao的操作的评论里,写了可以使用query($sql)的方式。但是我实际使用并没有任何效果,于是看了源码,并没有对传入的参数做任何的处理 |
小贼
|
我怎么感觉当初应该是官方对原生的sql不注意容易被注入,而暂时不提供?
|
纪鲁
|
$this->dao->query('select * from eps_user')->fetchAll(); 使用这种形式,注意表名不要写错了。 |
春哥
|
这个功能是后来才加的。 用dao拼装的sql安全性会好很多。自己直接写sql,确实容易被注入。 |
1/1