Bonjour,
Je post ce message dans l'espoir de recueillir des avis intéressant dans le domaines de la sécurité avec le zend framework. J'ai commencé à développé avec zend il n'y a pas si lgt et je pense que point de vue sécurité, mon code n'est pas très propre. Voici quelques points sur lesquelles je buche lorsque je code :
- Lors de l'insertions dans la base de donnée, j'insère les données sous forme brute ; je fait un
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
 
$table = new Table();
$row = $table->createRow;
$row->champ1 = form->champ1->getValue();
$row->save()
y à t-il une faille à ce niveau ou bien le zend s'occupe de protégé la base de donnée ?
- Y-a-t-il moyen de créer ses propres validateurs ? par exemple, je voudrai autorisé les caractère alphanumérique, les espacement ET certains caractère spéciaux que je définirais moi-même (é,@,è,à,ê, etc.)
- lors de l'affichage dans la vue, est-il possible de créer un plugin ou quelques chose dans le genre qui exécuterai un filtre sur toutes les variables que le controller passe à la vue. En fait, j'ai découvert récemment que dans la vue, il suffisait de faire
Code : Sélectionner tout - Visualiser dans une fenêtre à part
$this->escape($this->variable);
pour appliqué un filtre htmlentities... le problème c'est que le code chez moi est déja fait et cela me prendrai des heures à tout changer...n'y a-t-il pas moyen de généralisé cela ? j'ai essayer en faisant un
Code : Sélectionner tout - Visualiser dans une fenêtre à part
$this->escape($this->content());
dans mon layout principale mais à ce moment, même les tableaux sont filtré et j'ai les balises afficher sous forme de caractère html :s...

voila, j'espère que ce post sera riche en avis et renseignement qui pourront par la même aider beaucoup de personne paumée comme moi sur le net