Php zend, wie zu entkommen, eine variable, die für eine Abfrage?

im das tun einige Abfragen in Zend Framework, und ich brauche, um sicherzustellen, dass keine SQL-injection möglich ist, in den nächsten Formate. Ich kann verwenden mysql_escape(veraltet) und nicht die ganze Arbeit machen. Wenn ich versuche, real_mysql_escape es nicht in der Lage sein zu greifen, die Verbindung mit der Datenbank, und ich kann nicht finden, wie zend_filter würde das problem lösen.

Die Abfrage im tun (vereinfacht) die nächsten sintaxes:

    $db = Zend_Registry::get('db'); 
    $select = "SELECT COUNT(*) AS num
                FROM message m
                WHERE m.message LIKE '".$username." %'";
    $row = $db->fetchRow($select);

Was ist der beste Weg, um SQL-INJECTION verhindern mit diesem Rahmen?

InformationsquelleAutor DFectuoso | 2009-03-28
  1. 17

    Einfach: 

    $db->quote($username);

    Also:

       $username = $db->quote($username . '%');
   $select = 'SELECT COUNT(*) AS num
                                FROM message m
                                WHERE m.message LIKE ' . $username;
   $row = $db->fetchRow($select);
    • wenn ich $db->Zitat auf einen string, der ich bin, einsetzen, er setzt Anführungszeichen in die Zeichenfolge auch im Feld "Datenbank". Muss ich haben, um es zu trimmen, nachdem ich zitiere es, oder benutze ich es falsch?
    InformationsquelleAutor karim79
  2. 14
    $sql = 'SELECT * FROM messages WHERE username LIKE ?';
$row = $db->fetchRow($sql, $username);

    Referenz: http://framework.zend.com/manual/en/zend.db.html

    InformationsquelleAutor Konstantin Tarkus
  3. 1

    Beim arbeiten mit einem Modell, das Sie verwenden können:

    $bugs = new Bugs();
$row = $bugs->fetchRow($bugs->select()->where('bug_id = ?', 1));
    InformationsquelleAutor Ben Bos
Schreibe einen Kommentar