Pensavo che le dichiarazioni preparate da Doctrine 2 DBAL fossero al sicuro da SQLi. Ma ho trovato questo bit confuso nel docs :
By default the Doctrine DBAL does no escaping. Escaping is a very tricky business to do automatically, therefore there is none by default. When you use the Doctrine DBAL as standalone, you have to take care of this yourself.
Che cosa significa esattamente? Se qualcuno tenta di iniettare codice dannoso, la query fallirà (al contrario di inserire l'escape) perché l'RDBMS mi protegge? O non sono affatto protetto?
Uso PostgreSQL come mio RDBMS.