Update quote et sécurité

Salut à tous,

J'expérimente un peu ZF et donc ZendDb. J'utilisais jusqu'à maintenant PDO avec des requêtes préparée et je suis un peu dérouté lorsque je n'ai plus à écrire de sql.

Par exemple quand je fais :

Code:

---

1 2	$sql->update('users',$datas,'id = '.$id);

---

La requête est elle préparée ? Le fait d'utiliser quote() sur les chaine de $datas et des int/floatval sur les chiffres me met il à l'abris de toute injection sql ?

merci

Voici la méthode de update

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54

*/ public function update($table, array $bind, $where = '') { /**   * Build "col = ?" pairs for the statement,   * except for Zend_Db_Expr which is treated literally.   */ $set = array(); $i = 0; foreach ($bind as $col => $val) { if ($val instanceof Zend_Db_Expr) { $val = $val->__toString(); unset($bind[$col]); } else { if ($this->supportsParameters('positional')) { $val = '?'; } else { if ($this->supportsParameters('named')) { unset($bind[$col]); $bind[':'.$col.$i] = $val; $val = ':'.$col.$i; $i++; } else { /** @see Zend_Db_Adapter_Exception */ // require_once 'Zend/Db/Adapter/Exception.php'; throw new Zend_Db_Adapter_Exception(get_class($this) ." doesn't support positional or named binding"); } } } $set[] = $this->quoteIdentifier($col, true) . ' = ' . $val; }   $where = $this->_whereExpr($where);   /**   * Build the UPDATE statement   */ $sql = "UPDATE " . $this->quoteIdentifier($table, true) . ' SET ' . implode(', ', $set) . (($where) ? " WHERE $where" : '');   /**   * Execute the statement and return the number of affected rows   */ if ($this->supportsParameters('positional')) { $stmt = $this->query($sql, array_values($bind)); } else { $stmt = $this->query($sql, $bind); } $result = $stmt->rowCount(); return $result; }

---

On peut lire qu'il passe par une méthode

Code:

---

1 2	$this->quoteIdentifier

---

Il faut lire cette méthode et voir ce qu'elle retourne, mais pour faire simple oui , la requête est préparé par le update.

Tu peux d'ailleurs utiliser la méthode $this->prepare