Propel::getConnectionでクエリを処理する場合は、queryとか使わずにperpareを利用しよう

そうしないとセキュリティホールになっちゃう。

CriteriaでSQLの条件を設定している分には問題ないと思うけど、SQLを直接書きたくなっちゃった場合はquery関数を利用しないようにする。
使いたい場合はprepare関数でプリペアードステートメントを利用するようにする。

$con = Propel::getConnection();
$stmt = $con->prepare("SELECT * FROM tablename WHERE hogename = ?");
$stmt->bindValue(1, "ほげ~");
$stmt->execute();
while($row = $stmt->fetch()) {
    print "Name: " . $row['hogename'] . "\n";
}