Witam,

Korzystam z SF 1.4 i Doctrine 1.2. Zawsze uważałem, że dzięki ORM nie muszę martwić się o SQL Injection, jednak gdzieś przeczytałem(nie podam linku, bo nei pamiętam), że to nic nie daje. jak to w końcu jest?

I drugie pytanie - jak jest z bezpieczeństwem sesji w symfony?

Doctrine korzysta z prepared statements, które o ile jawnie nie wpleciesz jakieś niezaufanej treści w treść zapytania w pełni zabezpieczają przed SQL Injection (więcej w google). Do tego dochodzi jeszcze fakt, że nie tworzysz (z reguły) bezpośrednio zapytań SQL, a DQL więc to kolejna warstwa chroniąca Cię przed potencjalnym atakiem.
Nie mniej jednak zrobienie czegoś takiego:

[PHP] pobierz, plaintext 
$dql = 'SELECT ... WHERE abc.def = ' . $jakaśZmienna . ' ... '
[PHP] pobierz, plaintext 

Już może umożliwić atak.

Sesja w Sf jest na tyle bezpieczna na ile bezpieczny jest jej sterownik. Domyślnie masz włączony natywny sterownik PHP z regeneracją ID.

Zn. co do Doctrine, to ja nie robię własnych zapytań, wszystko leci poprzez DQL(przez co mam bardzo zawalonego apacza)

A co do sesji, to ok.