Sphinx, query и escape и SQL injection

Уже исправленные репорты или принятые предложения
Закрыто
Nafania
Сообщения: 1227
Зарегистрирован: 2011.01.31, 13:12

Sphinx, query и escape и SQL injection

Сообщение Nafania »

Есть запрос

Код: Выделить всё

$query->select('id')->from('{{%table}}')->match('@(title,description,tags) ' . $search)->all(); 
Где $search - это переменная полученная гетом.

Если в ней присутствует двойная кавычка, то запрос падает, хотя она эскейпится.
На выходе получается вот такой запрос

Код: Выделить всё

SELECT `id` FROM `table` WHERE MATCH('@(title,description,tags) как\"') 
Который приводит к падению.

Собственно баг или я неправильно запрос составил?

Аватара пользователя
samdark
Администратор
Сообщения: 9325
Зарегистрирован: 2009.04.02, 13:46
Откуда: Воронеж
Контактная информация:

Re: Sphinx, query и escape и SQL injection

Сообщение samdark »

Как именно падает?

Nafania
Сообщения: 1227
Зарегистрирован: 2011.01.31, 13:12

Re: Sphinx, query и escape и SQL injection

Сообщение Nafania »

Уже пофиксено https://github.com/yiisoft/yii2/issues/ ... t-45065853, тему можно закрыть.

Закрыто