im делает некоторые запросы в Zend Framework, и мне нужно убедиться, что SQL-инъекция не возможна в следующих форматах. Я могу использовать mysql_escape (устарел) и не буду выполнять всю работу. Если я попытаюсь использовать real_mysql_escape, он не сможет захватить связь с базой данных, и я не могу найти, как zend_filter решит проблему.Php on zend, как избежать переменной для запроса?
им запрос делать (Simplied) имеет следующий sintaxes:
$db = Zend_Registry::get('db');
$select = "SELECT COUNT(*) AS num
FROM message m
WHERE m.message LIKE '".$username." %'";
$row = $db->fetchRow($select);
Что является лучшим способом для предотвращения SQL Injection с этой структурой?
Когда я использую $ db-> quote для строки, которую я вставляю, она помещает кавычки в строку даже в поле базы данных. Должен ли я обрезать его после того, как я его процитирую, или я использую его неправильно? – Gisheri