В документации по подготовленному оператору Kohana указано
Несмотря на то, что все параметры экранированы для предотвращения SQL-инъекций, все же рекомендуется проверять/очищать введенные данные.
Из того, что я прочитал в подготовленных операторах, у меня сложилось впечатление, что параметры привязки предотвращают внедрение SQL. Если это не так, какой метод очистки/экранирования следует использовать перед привязкой переменных?
Я думаю, когда они говорят, что «проверка/санация по-прежнему является хорошей идеей», они имеют в виду использование действительного класса или/и класса проверки... Чтобы убедиться, что вы вставляете правильные данные в свою БД.
Дополнительная информация о проверке в Kohana: http://kohanaframework.org/3.2/guide/kohana/security/validation
ОБНОВИТЬ:
Вам также следует изучить XSS: http://kohanaframework.org/3.2/guide/kohana/security/xss
Kohana предоставляет абстракцию db для различных типов баз данных. Не все конкретные базы данных могут иметь подготовленные операторы, поэтому они будут смоделированы. Некоторые встроенные функции экранирования для определенных баз данных могут даже не работать.
Как вы никогда не знаете, всегда хорошо иметь не только один уровень безопасности.
Другой уровень заключается в том, что ваш сценарий действительно получает данные, которые имеют смысл. Например. например, строка имени размером 8 мегабайт. Не имеет смысла независимо от того, что с ним делает база данных.
