理论2 orm与sql注入

Question

在原则2中，如何在使用ORM时防止sql注入？我在理论网站上找到了以下页面：http://docs.doctrine-project.org/projects/doctrine-dbal/en/latest/reference/security.html

然而，这是关于dbal而不是ORM的。

假设$id是一个已发布的值，那么使用下面这样的东西安全吗？

$entityManager->getRepository('Product')->find($id);

还是更好的方法是使用以下命名参数创建查询：

// DQL Prepared Statements
$dql = "SELECT p FROM Product p WHERE p.id = ?1";
$query = $em->createQuery($dql);
$query->setParameter(1, $_GET['pid']);
$data = $query->getResult();

请注意，我不只是寻求一个是或否的答案，而是是否有一些权威的文件，以确保这是好的。

Answer 1

我在这页上找到了答案：http://docs.doctrine-project.org/en/latest/reference/security.html#user-input-and-doctrine-orm。