-1 zend-framework sql-injection
由于某些重要原因,我无法使用ZF提供的标准方法来阻止sql注入.我刚刚写了(我在用户的每个POST/GET数据上使用它):
$filter = new Zend_Filter_PregReplace();
$filter->setMatchPattern(array("/[';`]/"))
->setReplacement(array(''));
我只使用MySQL数据库.够了吗?现在安全吗?
永远不要使用正则表达式做这样的事情.如果您不能使用Zend的数据库方法,请使用数据库库为您提供的任何卫生设施.对于mySQL的程序包装器,它将是mysql_real_escape_string().对于PDO,参数化查询将自动处理它.等等.
也就是说,我真的不明白为什么这首先是必要的.为什么不能使用框架提供的内容?我敢打赌,除了自己做卫生之外,还有一个更好的解决方法.
| 归档时间: |
|
| 查看次数: |
2358 次 |
| 最近记录: |