Evitar sql injection y xss

[Alvaro Herrera]

Ricardo Mun~oz A. escribió:

>>> $condiciones = array('nombres' => "LIKE %$nombres%", 'otro_campo' => "<>
>>> $valor", etc.);
>>> $this->set('clientes', $this->Cliente->findAll($condiciones));
>>> ...

> ADOdb para PHP permite hacer lo que mencionas.
>
> que tiene de feo el codigo de CakePHP? es solo tu gusto personal o tienes 
> algo concreto que aportar?

El codigo de arriba tiene un SQL injection, no?

Mi problema con el codigo de arriba es que es un ORM,

http://blogs.tedneward.com/2006/06/26/The+Vietnam+Of+Computer+Science.aspx

-- 
Alvaro Herrera                         http://www.flickr.com/photos/alvherre/
"At least to kernel hackers, who really are human, despite occasional
rumors to the contrary" (LWN.net)