Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Json и Zend Framework - Database
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
А я зенд вообще не видел, но инструменты безопасного исполнения запросов содержат все фреймворки, иначе это и не фреймворк ни разу. При использовании фреймворка прямая конкатенация запроса и значений - явный признак, что что-то идёт сильно не так.
----- PostgreSQL DBA
Viper
Отправлено: 30 Марта, 2013 - 11:34:27
Активный участник
Покинул форум
Сообщений всего: 4555
Дата рег-ции: Февр. 2007 Откуда: Симферополь
Помог: 98 раз(а)
Мелкий пишет:
При использовании фреймворка прямая конкатенация запроса и значений - явный признак, что что-то идёт сильно не так.
Что может идти не так если это то же самое что и обычный запрос на insert. Все уже заэкранированно до передачи адаптеру. Так вот в результате какого-то... этот адаптер убирает все экранирования...
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
Viper пишет:
Все уже заэкранированно до передачи адаптеру.
Viper пишет:
$db->exec("INSERT INTO `sites` (params) VALUES('".$params."');
Где? Ничего тут не экранируется. И адаптер, разумеется, тоже не может знать, что надо ему экранировать - иначе этот код с руками бы оторвали в парсер запросов самого сервера СУБД.
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.