سلام.
خیلی اوقات پیش میاد پارامترهای مختلفی رو بدون استفاده از یک مدل خاص با استفاده از متدهای POST و GET توی صفحه استفاده می کنیم.
میخواستم بدونم در فریم ورک Yii موقعی که با پارامترهایی سر و کار داریم که کاری با مدل ندارن چه جوری میشه اونا رو از نظر وجود داشتن کاراکترهای مخرب یا غیرمجاز فیلتر کرد.
به طور مثال اگر من توی فرمی پارامتری رو ارسال کرده باشم و بخوام به شکل زیر بگیرمش چه جوری میتونم اونو Escape کنم.


$start_date = $_POST['start_date']

خوب بستگی داره کجا میخواین ازش استفاده کنید. اگه میخواین نشونش بدین توی صفحه، کافیه اینطوری کار کنید:

echo CHtml::encode($start_date);
اما اگه میخواین توی دیتابیس استفاده کنید، خودش Escape میکنه. مثال:

$model = new User;
$model->name = $_POST['name'];
// ...
if($model->save()) { // validation and escaping is done here automatically
// ...
}

نه بیشتر توی کوئری گرفتن ها یا انجام دادن یک کار خاص میخوام استفاده کنم.
به طور مثال تاریخ رو میخوام از کاربر بگیرم و یه رکورد رو با find بخونم مثلا. اونجا ها هم فکر میکنم مشکلی نیست درسته؟

خیر مشکلی نیست چون AR خودش Escape میکنه.