ORM框架能自動防止SQL注入攻擊嗎？ORM，接口封裝在ORM機制中，不對外公開，這從理論上防止了SQL注入。但是，外部世界不可能在訪問您的網(wǎng)站時直接使用您的對象界面。換句話說，您需要提供從在線協(xié)議到

ORM框架能自動防止SQL注入攻擊嗎？

ORM，接口封裝在ORM機制中，不對外公開，這從理論上防止了SQL注入。

但是，外部世界不可能在訪問您的網(wǎng)站時直接使用您的對象界面。換句話說，您需要提供從在線協(xié)議到對象接口的轉(zhuǎn)換。

此轉(zhuǎn)換的解碼/編碼（或序列化/反序列化或解析）也會受到格式錯誤數(shù)據(jù)的攻擊。

您只需將名為SQL注入的特定攻擊轉(zhuǎn)化為對自定義接口格式的攻擊。

因此，對于在線數(shù)據(jù)，避免攻擊的方法是最小化格式的復(fù)雜性和功能（從這個角度來看，您的自定義格式應(yīng)該低于SQL的復(fù)雜性和功能，這是很好的），并嘗試使用正式方法來定義和解析格式（例如，使用實數(shù)BNF和解析來解析純文本數(shù)據(jù)比使用SQL（盲替換或regexp解析具有較低的攻擊威脅）要好。在某些情況下，最好使用預(yù)編譯的SQL來接受參數(shù)，因為此時的參數(shù)不能修改ast。

因此，這是一個綜合考慮。例如，您的ORM可能非常重，減少威脅的能力可能不如簡單地使用預(yù)編譯的SQL好。

所以不能

在TP框架中，使用原生SQL有什么弊端？

TP的查詢語法支持跨數(shù)據(jù)庫。如果它是本機的，則可能無法支持跨數(shù)據(jù)庫。另一件事是你需要檢查安全過濾。優(yōu)點是可以從性能方面節(jié)省SQL匯編的成本。

TP:ThinkPHP是一個快速、兼容且簡單的輕量級國內(nèi)PHP開發(fā)框架。它誕生于2006年初，原名FCS，2007年元旦正式更名為ThinkPHP。它是根據(jù)apache2開源協(xié)議發(fā)布的。對struts結(jié)構(gòu)進行了移植和改進。同時，還借鑒了國外許多優(yōu)秀的框架和模式，采用面向?qū)ο蟮拈_發(fā)結(jié)構(gòu)和MVC模式，將struts的思想與taglib（taglibrary）、ror的ORM映射和activerecord模式相結(jié)合。

本機SQL：可由數(shù)據(jù)庫直接執(zhí)行的SQL語句，如Oracle、MSSQL、mysql、DB2等

非本機SQL：一般指根據(jù)指定的程序規(guī)則自動生成的SQL，如最經(jīng)典的LINQ to SQL