Php on zend, как избежать переменной для запроса?

im делает некоторые запросы в Zend Framework, и мне нужно убедиться, что SQL-инъекция не возможна в следующих форматах. Я могу использовать mysql_escape (устарел) и не буду выполнять всю работу. Если я попытаюсь использовать real_mysql_escape, он не сможет захватить связь с базой данных, и я не могу найти, как zend_filter решит проблему.Php on zend, как избежать переменной для запроса?

им запрос делать (Simplied) имеет следующий sintaxes:

$db = Zend_Registry::get('db'); 
    $select = "SELECT COUNT(*) AS num 
       FROM message m 
       WHERE m.message LIKE '".$username." %'"; 
    $row = $db->fetchRow($select);

Что является лучшим способом для предотвращения SQL Injection с этой структурой?

источник

2009-03-28 DFectuoso

Easy:

$db->quote($username);

Итак:

$username = $db->quote($username . '%'); 
    $select = 'SELECT COUNT(*) AS num 
           FROM message m 
           WHERE m.message LIKE ' . $username; 
    $row = $db->fetchRow($select);

источник

2009-03-28 18:41:08 karim79

Когда я использую $ db-> quote для строки, которую я вставляю, она помещает кавычки в строку даже в поле базы данных. Должен ли я обрезать его после того, как я его процитирую, или я использую его неправильно? – Gisheri

$sql = 'SELECT * FROM messages WHERE username LIKE ?'; 
$row = $db->fetchRow($sql, $username);

Ссылка: http://framework.zend.com/manual/en/zend.db.html

источник

2009-03-28 18:40:48

При работе с моделью, вы можете использовать:

$bugs = new Bugs(); 
$row = $bugs->fetchRow($bugs->select()->where('bug_id = ?', 1));

источник

2013-06-12 10:36:21

Php on zend, как избежать переменной для запроса?

ответ

Смежные вопросы