Discussion :

[grunk]

Bonjour à tous,
Je n'ai pas reussi à trouve rde réponse dans la doc du framework donc je me tourne vers vous

LA méthode save() de Zend_db_table échappe t'elle les paramètres sauvegardé ou faut il les échapper manuellement ?

En gros :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$user = $tuser->find($session->id)->current();
$user->login = $login;
$user->save();

ou

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$user = $tuser->find($session->id)->current();
$user->login = $sql->quote(htmlentities($login,ENT_QUOTE));
$user->save();

Merci

[patbator]

Hello,

De ce que j'en sais, Zend_Db_Table_Row ne va pas faire le type d'échappement que tu décris dans ton 2ème cas.
C'est un choix personnel de vouloir "htmlentitiser" les données dans ta base. Perso je trouve ça dommage ca ça spécialise tes datas.

Normalement :
1 - Tu filtres/valides les datas avant de les passer à la base
2 - Tu échappes ces datas en provenance de la base suivant l'endroit ou tu veux les afficher.

Par exemple, si tu propose un champ d'édition avant de la mise en forme HTML tu ne voudras pas forcément sur-encoder le html à l'affichage, et si tu veux l'enlever tu fera plutôt un striptags. Mais tout ceci tu ne le sais qu'au moment et à l'endroit ou tu veux afficher les données et pas au moment ou tu les enregistre.

[grunk]

On est d'accord pour le htmlentities qui n'a rien à faire à l'enregistrement.
Je parlais en fait surtout du quote() et de l'échappement des caractères contre les injection sql.

[patbator]

Ha, ok.

Dans ce cas ce qui se passe au save est au final un appel à un statement lié à l'adapter que tu utilises.

Dans mon cas par exemple c'est du PDO, et donc dans ce cas c'est le pilote PDO qui traite les valeurs pour ne pas permettre les injections.

voir ici