Zendframework - MySQL инъекции, как защитить

Question

Если я использую методы, например вставить, обновить в ZF Буду ли я в безопасности (MySQL инъекция)?

например часть кода:

            $data = array(
                'autor' => $autor,
                'title' => $title,
                'text' => $text,
                'date' => $date,
            );
            $news = new News();
            $news->insert($data); // safe?

Answer 1

Я думаю, что все будет в порядке, как у вас. Я имею в виду одно из преимуществ использования PDO ext - предотвращение SQL-инъекций с использованием PHP вместо MySQL для запросов к базе данных. Здесь больше от devzone.zend.com

Answer 2

Хорошо, как ты это делаешь. Но будьте осторожны с mysql-выражениями. Там вы должны использовать Zend_Db_Expr -Object:

$data = array(
    'author' => 'John Doe',
    'title' => 'Headline goes here',
    'text' => 'The content...',
    'date' => new Zend_Db_Expr('NOW()') //  <--- use this for SQL-Expressions
);
$news = new News();
$news->insert($data);

Answer 3

Аналогичный вопрос здесь:

Как предотвратить атаку SQL-инъекций в приложениях, запрограммированных в Zend Framework?

Всегда проверяйте, что вы дезинфицируете пользовательские значения ввода, используя mysql_real_escape_string