Yii框架中如何防止SQL注入

Yii框架提供了多種方法來防止SQL注入，以下是一些建議：

1. 使用預處理語句（Prepared Statements）和參數綁定（Parameter Binding）： Yii框架支持PDO（PHP Data Objects）和MySQLi擴展，它們都支持預處理語句和參數綁定功能。使用這些功能可以有效地防止SQL注入攻擊。

例如，使用PDO：

$stmt = $pdo->prepare("INSERT INTO users (username, password) VALUES (:username, :password)");
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);
$stmt->execute();

使用MySQLi：

$stmt = $mysqli->prepare("INSERT INTO users (username, password) VALUES (?, ?)");
$stmt->bind_param("ss", $username, $password);
$stmt->execute();

2. 使用ActiveRecord： Yii框架的ActiveRecord組件提供了一種安全且方便的方式來操作數據庫。當使用ActiveRecord時，不需要直接編寫SQL語句，而是通過模型類的屬性和方法來操作數據庫。這樣可以自動處理參數綁定和轉義，從而防止SQL注入。

例如：

$user = new User;
$user->username = $username;
$user->password = $password;
$user->save();

3. 驗證和過濾用戶輸入： 在將用戶輸入的數據保存到數據庫之前，應該對其進行驗證和過濾。可以使用Yii框架提供的驗證器（Validators）來確保用戶輸入的數據符合預期的格式和類型。此外，還可以使用PHP內置的過濾函數，如filter_var()，來清理用戶輸入的數據。

例如：

$username = filter_var($username, FILTER_SANITIZE_STRING);
$password = filter_var($password, FILTER_SANITIZE_STRING);

4. 使用Yii的安全函數： Yii框架提供了一些安全函數，如Yii::app()->request->post()和Yii::app()->request->get()，用于獲取用戶提交的數據。這些函數會自動處理參數轉義，從而降低SQL注入的風險。

例如：

$username = Yii::app()->request->post('username');
$password = Yii::app()->request->post('password');

總之，在Yii框架中防止SQL注入的關鍵是使用預處理語句和參數綁定，同時結合驗證、過濾和安全函數來確保用戶輸入的數據安全。