我在Zend \ db \ sql中使用zf 2.4和本例。如果我已经使用prepareStatementForSqlObject(),我需要担心sql注入还是需要执行quote()或转义任何东西?下面的例子已经做了盲变量了吗?Zend db sql - prepareStatementForSqlObject - 仍然需要绑定或担心sql注入?
https://framework.zend.com/manual/2.4/en/modules/zend.db.sql.html
use Zend\Db\Sql\Sql;
$sql = new Sql($adapter);
$select = $sql->select();
$select->from('foo');
$select->where(array('id' => $id));
$statement = $sql->prepareStatementForSqlObject($select);
$results = $statement->execute();
正如我所说的,我正在使用2.4,所以这就是为什么我使用该文档。谢谢(你的)信息。 – sparkmix
这对你有帮助吗?如果它回答你的问题,请考虑接受我的答案。 –