Discussion :

[grunk]

Bonjour à tous,

Je me met doucement à ZF et j'ai un doute au nivea udes requetes avec Zend_Db.

1- Select

j'ai par exemple cette requete :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
$rq = 'SELECT * FROM user WHERE id=:id';
$binds = array('id'=>1);
$result = $sql->fetchOne($rq,$binds);

Il est dit que toutes les requetes sont préparées , donc en principe je n'ai rien de spécial à faire niveau sécu (genre mysql_real_escape_string) , exact ?

2- Insert/update

Au niveau des insert et update je suis plus dans le flou car dans la doc il parle de la méthode quote() , qui si j ai bien tout compris permet d'échapper les apostrophes. Cependant il est bien précisé que ca n'échappe pas les caractère dis spéciaux comme le ferais mysql_real_escape_string.

Note that the return value of quote() includes the quote delimiters around the string. This is different from some functions that escape special characters but do not add the quote delimiters, for example mysql_real_escape_string().

Quid de la sécurité ? Suis je toujours avec des requetes préparé auquel cas les attaques classiques par injection seront filtrées ? Ou y'a t'il d'autres mesure à prendre ?

Merci

[MaitrePylos]

Par sécurité, dans ce genre de cas, je vérifie le code.

donc le update , nous donne ceci, je fais court et je ne met pas tout le code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$stmt = $this->query($sql, array_values($bind));

dans la méthode query, je retrouve

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$stmt = $this->prepare($sql);

Le update est donc préparé