Zend_Db_Table_Abstract->insert() 函数安全吗?
我正在使用 Zend_Db_Table_Abstract 中的 insert() 函数。
插入的数据是用户输入,所以我自然很好奇 ZF 是否为我进行数据清理,或者我是否应该在调用 insert() 函数之前自己进行数据清理。
I am using the insert() function from Zend_Db_Table_Abstract.
The data being inserted is user input, so naturally I am curious if ZF does the data cleansing for me, or if I should do it myself before I call the insert() function.
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(2)
当您需要在
Zend_Db_Table中使用引用(quote()、quoteInto())时:insert(否)更新(是)删除(是)在
Zend_Db_Table_Select中使用引号(通常不);确保检查查询的输出。这是 Zend_Db 的一位作者的一个很好的答案(避免使用 Zend_Db 类进行 MySQL 注入)。
When you need to use quoting (
quote(),quoteInto()) withZend_Db_Table:insert(no)update(yes)delete(yes)Use quotes with
Zend_Db_Table_Select(usually not); make sure you examine the output of the query.Here's a great answer from one of the authors of Zend_Db (avoiding MySQL injections with the Zend_Db class).
Zend_Db 插入方法清理发送的参数。
The Zend_Db insertion method sanitizes the parameters sent.