скажите пожалуйста, защищает ли AR в Yii от sql injection? просто нигде не нашел ответ на этот вопрос.
Скажем, безопасна ли конструкция вида
public function actionView($id, $path)
{
$category = Tree::model()->findByPath($path);//вот это, ищем, получив данные из $_get
$post = Post::model()->with('category')->with('comments')->findByPk($id); //может стоит хотя-бы
//сделать $id=int($id)?
//..
}
экранирует только не поля а значение но если создать мегакод который по каким то причинам будет из гета или поста передавать значение в $this->aliasAttribute или в $this->parentAttribute то инъекция возможна так как эти параметры по идее должны задаваться статично