我在看一些Zend Framework的代碼,開發人員,我與使用工作,並在其中我看到以下內容:Zend Framework的SQL注入防護
$select = new Zend_Db_Select($DB);
$sql = $select->where("id ='".$id."'");
現在的$ id不被任何消毒,我的印象是,如果你使用佔位符,你只能通過Zend注入保護 - 這個字符串是脆弱的,我想。
該代碼的作者聲稱zend照顧它即使在這種情況下,雖然我找不到它所說的文檔。
任何人都可以清除,如果這實際上是安全的?
是的,我知道這會保護,但原作者聲稱他的意願,我相信是錯誤的。只是想驗證。 – Will 2011-12-14 22:29:45
我對Zend及其衛生技術並不熟悉,但是如果它在where方法中創建字符串,可能會對其進行消毒。即它清理任何輸入到$ db_obj-> method() – Brendan 2011-12-14 22:38:14