ZEND_DB_TABLE_ABSTRACT方法SQL注入

Question

sql注入ZEND_DB_TABLE_ABSTRACT方法有可能嗎？

例如像

$this->insert(); 

編輯用於更清楚的解釋

後的值是：

'username' = 'admin';

'password' = '1;Drop table users;'

這裏是在控制器插入語句：

public function InsertAction() { 
    $postValues = $this->_request->getPost(); 
    $usersTable = new Application_Models_DbTable_Users(); 
    $username = $postValues['username']; 
    $password = $postValues['password']; 
    $data = array('username'=>$username,'password'=>$password); 
    $users->insert($data); 
} 

Answer 1

是的，這是可能的，但在insert()的通常用途是不可能的。除非您使用Zend_Db_Expr，否則您應該是安全的，因爲insert()使用準備好的語句。其他方法和細節請參閱this post from Bill Karwin。

Answer 2

檢查了Zend Zend_Db_Table

的手工它會告訴你，你可以創建自己的方法誰。