如果我使用的方法,例如插入,在ZF中更新我是否安全(mysql注入)?
例如代码的一部分:
$data = array(
'autor' => $autor,
'title' => $title,
'text' => $text,
'date' => $date,
);
$news = new News();
$news->insert($data); // safe?
答案 0 :(得分:1)
这里有类似的问题:
How to prevent SQL Injection attack in applications programmed in Zend Framework?
始终确保使用mysql_real_escape_string
清理用户输入值答案 1 :(得分:1)
我认为你的方式会很好。我的意思是使用PDO ext的一个优点是使用PHP而不是MySQL来阻止SQL注入来查询数据库。 Here is more from devzone.zend.com
答案 2 :(得分:1)
你这样做很好。但要小心mysql表达式。你应该使用Zend_Db_Expr - 对象:
$data = array(
'author' => 'John Doe',
'title' => 'Headline goes here',
'text' => 'The content...',
'date' => new Zend_Db_Expr('NOW()') // <--- use this for SQL-Expressions
);
$news = new News();
$news->insert($data);