PHP na zend, jak uciec zmiennej dla zapytania?

Zrobić pewne pytania w Zend Framework i muszę upewnić się, że SQL injection nie jest możliwe w następnym rodzaju formatów. Mogę użyć mysql_escape (przestarzałe) i nie wykonuję całej pracy. Jeśli spróbuję użyć pliku real_mysql_escape, nie będzie on mógł pobrać połączenia z bazą danych i nie mogę znaleźć rozwiązania problemu zend_filter.PHP na zend, jak uciec zmiennej dla zapytania?

IM zapytanie robi (simplied) mają kolejne sintaxes:

$db = Zend_Registry::get('db'); 
    $select = "SELECT COUNT(*) AS num 
       FROM message m 
       WHERE m.message LIKE '".$username." %'"; 
    $row = $db->fetchRow($select);

Co jest najlepszym sposobem zapobiegania SQL Injection w tym kontekście?

Źródło

2009-03-28 DFectuoso

proste:

$db->quote($username);

Więc:

$username = $db->quote($username . '%'); 
    $select = 'SELECT COUNT(*) AS num 
           FROM message m 
           WHERE m.message LIKE ' . $username; 
    $row = $db->fetchRow($select);

Źródło

2009-03-28 18:41:08 karim79

Kiedy używam $ db-> quote na łańcuchu, który wstawiam, umieszcza cudzysłowy w łańcuchu, nawet w polu bazy danych. Czy muszę go przycinać po cytowaniu, czy też używam go niepoprawnie? – Gisheri

$sql = 'SELECT * FROM messages WHERE username LIKE ?'; 
$row = $db->fetchRow($sql, $username);

referencyjny: http://framework.zend.com/manual/en/zend.db.html

Źródło

2009-03-28 18:40:48

Podczas pracy z modelem, można użyć:

$bugs = new Bugs(); 
$row = $bugs->fetchRow($bugs->select()->where('bug_id = ?', 1));

Źródło

2013-06-12 10:36:21

PHP na zend, jak uciec zmiennej dla zapytania?

Odpowiedz

Powiązane problemy