Bonjour à tous,
Je me met doucement à ZF et j'ai un doute au nivea udes requetes avec Zend_Db.
1- Select
j'ai par exemple cette requete :
Il est dit que toutes les requetes sont préparées , donc en principe je n'ai rien de spécial à faire niveau sécu (genre mysql_real_escape_string) , exact ?
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4 $rq = 'SELECT * FROM user WHERE id=:id'; $binds = array('id'=>1); $result = $sql->fetchOne($rq,$binds);
2- Insert/update
Au niveau des insert et update je suis plus dans le flou car dans la doc il parle de la méthode quote() , qui si j ai bien tout compris permet d'échapper les apostrophes. Cependant il est bien précisé que ca n'échappe pas les caractère dis spéciaux comme le ferais mysql_real_escape_string.
Quid de la sécurité ? Suis je toujours avec des requetes préparé auquel cas les attaques classiques par injection seront filtrées ? Ou y'a t'il d'autres mesure à prendre ?Note that the return value of quote() includes the quote delimiters around the string. This is different from some functions that escape special characters but do not add the quote delimiters, for example mysql_real_escape_string().
Merci
Partager