そうしないとセキュリティホールになっちゃう。
CriteriaでSQLの条件を設定している分には問題ないと思うけど、SQLを直接書きたくなっちゃった場合はquery関数を利用しないようにする。
使いたい場合はprepare関数でプリペアードステートメントを利用するようにする。
$con = Propel::getConnection(); $stmt = $con->prepare("SELECT * FROM tablename WHERE hogename = ?"); $stmt->bindValue(1, "ほげ~"); $stmt->execute(); while($row = $stmt->fetch()) { print "Name: " . $row['hogename'] . "\n"; }