Zrobić pewne pytania w Zend Framework i muszę upewnić się, że SQL injection nie jest możliwe w następnym rodzaju formatów. Mogę użyć mysql_escape (przestarzałe) i nie wykonuję całej pracy. Jeśli spróbuję użyć pliku real_mysql_escape, nie będzie on mógł pobrać połączenia z bazą danych i nie mogę znaleźć rozwiązania problemu zend_filter.PHP na zend, jak uciec zmiennej dla zapytania?
IM zapytanie robi (simplied) mają kolejne sintaxes:
$db = Zend_Registry::get('db');
$select = "SELECT COUNT(*) AS num
FROM message m
WHERE m.message LIKE '".$username." %'";
$row = $db->fetchRow($select);
Co jest najlepszym sposobem zapobiegania SQL Injection w tym kontekście?
Kiedy używam $ db-> quote na łańcuchu, który wstawiam, umieszcza cudzysłowy w łańcuchu, nawet w polu bazy danych. Czy muszę go przycinać po cytowaniu, czy też używam go niepoprawnie? – Gisheri