В документацията на подготвеното изявление на Kohana се посочва
Въпреки че всички параметри са екранирани, за да се предотврати инжектирането на SQL, все пак е добра идея да потвърдите/дезинфекцирате входа си.
От това, което прочетох в подготвените изрази, останах с впечатлението, че обвързващите параметри предотвратяват SQL инжектирането. Ако това не е така, какъв метод за саниране/бягство трябва да използвам, преди да обвържа променливите?
Мисля, че когато казват "все още е добра идея да се валидира/дезинфекцира", те имат предвид да използват валиден клас или/и клас за валидиране... За да сте сигурни, че получавате правилните данни, вмъкнати във вашата база данни.
Повече информация за валидирането в Kohana: http://kohanaframework.org/3.2/guide/kohana/security/validation
АКТУАЛИЗАЦИЯ:
Трябва също да разгледате XSS: http://kohanaframework.org/3.2/guide/kohana/security/xss
Kohana предоставя db абстракция за различни типове бази данни. Не всички конкретни бази данни може да са подготвили отчети, така че ще бъдат симулирани. Някои собствени функции за екраниране за конкретни бази данни може дори да бъдат повредени.
Както никога не знаете, винаги е добре да имате не само едно ниво на сигурност.
Друго ниво е, че вашият скрипт действително получава данни, които имат смисъл. напр. низ от първо име, който е голям например 8 мегабайта. Няма да има смисъл, независимо какво прави базата данни с нея.
