Skip to content

Commit

Permalink
Merge pull request yiisoft#16167 from 3elik/patch-1
Browse files Browse the repository at this point in the history 
docs/guide-ru/db-query-builder.md fix some typos
  • Loading branch information
@SilverFire
SilverFire authored Apr 26, 2018
2 parents c3c9820 + 7759b59 commit 301c361
Showing 1 changed file with 4 additions and 4 deletions.
8 changes: 4 additions & 4 deletions docs/guide-ru/db-query-builder.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -137,7 +137,7 @@ $query->from('public.user u, public.post p');
$query->from(['u' => 'public.user', 'p' => 'public.post']);
```

Кроме имён таблиц, вы можете, также, как и в select, указывать подзапросы в виде объекта [[yii\db\Query]].
Кроме имён таблиц, вы можете так же, как и в select, указывать подзапросы в виде объекта [[yii\db\Query]].

```php
$subQuery = (new Query())->select('id')->from('user')->where('status=1');
Expand Down Expand Up @@ -225,7 +225,7 @@ $query->where(['id' => $userQuery]);
```php
// Уязвимый код:
$column = $request->get('column');
$value = $request->get('value);
$value = $request->get('value');
$query->where([$column => $value]);
// $value будет безопасно привязано как параметр, но $column – нет!
```
Expand Down Expand Up @@ -295,7 +295,7 @@ $query->where([$column => $value]);
- `>`, `<=`, или другие валидные операторы БД, которые требуют двух операндов: первый операнд должен быть именем
столбца, второй операнд это значение. Например, `['>', 'age', 10]` сформирует `age>10`.

Используя формат операторов, Yii автоматически призяывает значения для сравнения как параметры, потому в отличие от [строкового формата](#string-format),
Используя формат операторов, Yii автоматически привязывает значения для сравнения как параметры, потому в отличие от [строкового формата](#string-format),
привязывать параметры вручную не требуется. Обратите внимание, что Yii никогда НЕ экранирует имена столбцов,
потому если вы используете как имя столбца переменню, полученную от пользователя без дополнительной проверки, ваше приложение
становится подверженным атаке через SQL инъекцию. Чтобы избежать этого, используйте для имён столбцов только проверененные данные,
Expand All @@ -305,7 +305,7 @@ $query->where([$column => $value]);
```php
// Уязвимый код:
$column = $request->get('column');
$value = $request->get('value);
$value = $request->get('value');
$query->where(['=', $column, $value]);
// $value будет безопасно привязано как параметр, но $column – нет!
```
Expand Down

0 comments on commit 301c361

Please sign in to comment.