Consultez la FAQ sur le ZF avant de poster une question
Vous n'êtes pas identifié.
Bonjour,
J'utilise ceci:
$rows = $table->find($id);
Est-ce je dois explicitement filtrer le contenu de $id ou le Zend Framework le prend en charge avec sa méthode find?
Merci!
Karine Majeau
Consultante en développement Web
Dernière modification par Karine (27-03-2007 19:08:35)
Hors ligne
Si on regarde les sources de Zend_Db_Table_Abstract, on voit que le sql utilisé est proprement généré avec quoteInto, quoteIdentifier etc.
Je pense que cela répond à votre question.
Hors ligne
La requête sera protégée des insertions SQL.
Cependant tu dois vérifier le contenu de ta variable pour éviter d'executer une requête pour rien. Si $id contient des lettres alors qu'il doit contenir uniquement des chiffres, la requête sera éxécuté pour rien.
Hors ligne
en matiere de securite il faut tjs filtrer et refiltrer, ensuite ca depent aussi d'ou vient ton id, mais si ton id est int
alors un casting t'eviteras bien des pb
$rows = $table->find((int) $id);
Hors ligne
Merci de vos réponses!
Je vais utiliser find() sans crainte
Hors ligne