Consultez la FAQ sur le ZF avant de poster une question
Vous n'êtes pas identifié.
Pages: 1
Bonjour !
Comment échappez vous vos données POST avant de vous en servir dans une requête sql ?
Merci d'avance
Hors ligne
Normalement oui, c'est nécessaire. Après si tu utilises Zend_Db_Table, ça n'est pas toujours nécessaire. sinon dans Zend_Db, il faut bien comprendre tout ce qui est quote et quoteInto.
A+, Philippe
Hors ligne
En fait je sais que c'est nécessaire !
Mais je voudrais savoir un peu comment vous vous y prenez lorsqu'il s'agit de faire un select (de quelle manière créez vous votre where), un insert/update, mais aussi lorsqu'il faut faire un affichage (venant de la base, ou bien d'un formulaire).
En gros je cherche à faire les correspondances avec les htmlentities, addslashes, stripslashes, mysql_real_escape_string et cie. A quel moment doit-on explicitement faire un filtrage? A quel moment cela est automatique?
Bref ce genre de questions
Si un tuto existe, ça m'intéresse aussi !
Hors ligne
la vue travaille dans le format de la vue donc html entities et autre truc du genre si c'est du html
le controleur lui travaille avec des données string donc rien si ce n'est des filters
le modèle lui aussi travaille avec des données les chaine sont des chaines rien de plus.
la couche d'accès au donnée elle travail avec un gisement de donnée c'est donc à elle d'appeler les méthode corrspondant à sont gisement pour bien traiter les chaines d'où la présence des quote et quoteinto
ne pas utiliser de fonction comme mysql_real_escape_string utiliser les méthode quote et quoteinto de Zend_DB qui tiennent compte de la base sur laquelle il est connecté.
ainsi un code développé pour une base a plus de change de fonctionner sur une autre.
il n'y a pas de toto car ça ne sert à rien.
tu mets des html entites dans tes vu qui font du html et des quote et quoteinto dans tes requêtes c'est tout
A+JYT
Hors ligne
Ok merci beaucoup
Hors ligne
Pages: 1