CakePHPページ分割SQLインジェクション

Question

私はCakePHP（バージョン2.6.7）プロジェクトに取り組んでいます。

$this->Paginator->settings['conditions']['Records.name like'] = '%'.$this->request->query['searched_term'].'%'; 
$this->set('results', $this->Paginator->paginate('Records')); 

SQLインジェクションから保護するページ付けない：私は、用語と結果が表示され、ユーザがそのようにCakePHPのページネータを使用して検索する検索ページがありますか？ $this->request->query['searched_term']はユーザーによって入力されるため、信頼できないため、ページングによってSQLインジェクションが防止されるかどうかについての情報は見つかりません。

私はSanitize::clean()を認識していますが、減価償却としてマークされています。とにかくそれを使うべきですか？そうでない場合、私は何を使うべきですか？

Answer 1

最後に、ページャーはModel::find()コールを発行しているので、find()と一般的に安全です。

そして、field => valueスタイル条件の値の側の一般的に（式オブジェクトを除く）すべてが自動的に引用/エスケープされるため、そこに表示されているものは安全です。

も

• Cookbook > Models > Retrieving Your Data > Complex Find Conditions
• API > DboSource::expression()

を参照してください。