0
当使用Zend_Db_Table_Abstract Save
函数时,为了更新数据库,我需要担心SQL注入(引用我的参数)还是自动完成?Zend_Db_Table_Abstract:保存 - sql注入
如何查看查询的外观?
当使用Zend_Db_Table_Abstract Save
函数时,为了更新数据库,我需要担心SQL注入(引用我的参数)还是自动完成?Zend_Db_Table_Abstract:保存 - sql注入
如何查看查询的外观?
不,您不必担心使用save()
时的SQL注入。
在幕后,Zend Framework使用Zend_Db_Adapter_Abstract::insert()
和Zend_Db_Adapter_Abstract::update()
,它们使用绑定参数。所有值将被框架转义以防止SQL注入。
SQL注入的唯一风险是使用Zend_Db_Expr
创建自定义/高级查询,但在使用save()
时不会发生这种情况。
您可能想看看Zend_Db_Profiler列出框架生成的所有查询。
或者,您也可以启用数据库查询日志。查看MySQL的How to enable MySQL Query Log?,或Postgres的How to log PostgreSQL queries?。