堆棧內存溢出
  簡體   English   中英

Php on zend,如何為查詢轉義變量?

[英]Php on zend, how to escape a variable for a query?

 原文  2009-03-28 18:30:51       php/ mysql/ zend-framework/ sql-injection

問題描述

我在Zend Framework中做了一些查詢,我需要確保在下一種格式中不能進行SQL注入。 我可以使用mysql_escape(已棄用)並且不會完成所有工作。 如果我嘗試使用real_mysql_escape它將無法獲取數據庫的連接,我無法找到zend_filter將如何解決問題。

我正在做的查詢(simplied)有下一個sintaxes: 

    $db = Zend_Registry::get('db'); 
    $select = "SELECT COUNT(*) AS num
                FROM message m
                WHERE m.message LIKE '".$username." %'";
    $row = $db->fetchRow($select);

使用此框架阻止SQL INJECTION的最佳方法是什么?

3 個解決方案

解決方案1
 17 已采納  2009-03-28 18:41:08

簡單: 

$db->quote($username);

所以: 

   $username = $db->quote($username . '%');
   $select = 'SELECT COUNT(*) AS num
                                FROM message m
                                WHERE m.message LIKE ' . $username;
   $row = $db->fetchRow($select);

解決方案2
 14  2009-03-28 18:40:48

$sql = 'SELECT * FROM messages WHERE username LIKE ?';
$row = $db->fetchRow($sql, $username);

參考http//framework.zend.com/manual/en/zend.db.html

解決方案3
 1  2013-06-12 10:36:21

使用模型時,您可以使用: 

$bugs = new Bugs();
$row = $bugs->fetchRow($bugs->select()->where('bug_id = ?', 1));

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 如何在PHP變量中轉義撇號以進行選擇查詢 如何在 Zend 框架查詢中添加轉義 $ 如何在Javascript中轉義PHP變量? 如何在PHP中轉義此JavaScript變量 SOAP查詢變量,要逃避還是不要逃避? 如何在PHP的Heredoc中轉義變量名? 如何在zend中將查詢的值分配給變量 如何在php腳本中轉義此mysql查詢? 如何在PHP SQL查詢中自動轉義字符串? 如何在zend框架中使用PHP會話變量
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM