yii防止sql注入

假如创建了一个Article模型

先看下面这个例子：

    public function actionIndex()
    {
        $request = \Yii::$app->request;
        $id = $request->get('id');
        $sql = "select * from article where id=".$id;
        $r = Article::findBySql($sql)->all();   
        print_r($r);
    }

上面的例子存在什么风险呢？

id是通过页面url获取的，可能会被用户恶意篡改，比如id改为id=1 or 1=1 即拼接为：

$sql = "select * from article where id=1 or 1=1";

 1=1是恒成立的，所以sql语句实际效果是:

$sql = "select * from article";

这样会把所有文章都搜索出来，假如搜出的是网站所有会员的信息，那是不安全的！

用户还可以恶意删除数据库的信息：

比如把id改为：1;drop table article 即拼接为：

$sql = "select * from article where id=1;drop table article";

这样就会把article表给删除掉。是不是很不安全呢！

那么如何防范这种风险呢？

其实也很简单，就是先把sql语句做占位符处理，然后把参数传到sql语句中。

$sql = "select * from article where id=:id";  //冒号后的id可以自定义，一般就与前面的字段名一样
$r = Article::findBySql($sql,[':id'=>$id])->all();  //第二个参数为占位符替换