Php sous zend, comment échapper à une variable pour une requête?

im faire des requêtes dans le Zend Framework et j'ai besoin de s'assurer qu'aucune injection SQL est possible dans la prochaine types de formats. Je peux utiliser mysql_escape(obsolète) et l'habitude de faire tout le travail. Si j'essaie d'utiliser real_mysql_escape il ne sera pas en mesure de récupérer la connexion avec la base de données et je ne peux pas trouver comment zend_filter permettrait de résoudre le problème.

La requête im faire (simplié) ont le prochain sintaxes:

    $db = Zend_Registry::get('db'); 
    $select = "SELECT COUNT(*) AS num
                FROM message m
                WHERE m.message LIKE '".$username." %'";
    $row = $db->fetchRow($select);

Quelle est la meilleure façon de prévenir l'INJECTION SQL avec ce cadre?

OriginalL'auteur DFectuoso | 2009-03-28

  1. 17

    Facile: 

    $db->quote($username);

    Donc:

       $username = $db->quote($username . '%');
   $select = 'SELECT COUNT(*) AS num
                                FROM message m
                                WHERE m.message LIKE ' . $username;
   $row = $db->fetchRow($select);
    lorsque j'utilise $db->citation sur une chaîne que je suis de l'insertion, il met des guillemets dans la chaîne de même dans le champ de base de données. Dois-je le tailler après que j'ai cité, ou suis-je en l'utilisant de manière incorrecte?

    OriginalL'auteur karim79

  2. 14
    $sql = 'SELECT * FROM messages WHERE username LIKE ?';
$row = $db->fetchRow($sql, $username);

    Référence: http://framework.zend.com/manual/en/zend.db.html

    OriginalL'auteur Konstantin Tarkus

  3. 1

    Lorsque vous travaillez avec un modèle que vous pouvez utiliser:

    $bugs = new Bugs();
$row = $bugs->fetchRow($bugs->select()->where('bug_id = ?', 1));

    OriginalL'auteur Ben Bos