Zend FR
Consultez la FAQ sur le ZF avant de poster une question
Vous n'êtes pas identifié.
#1 27-03-2007 19:05:12
- Karine
- Nouveau membre
- Date d'inscription: 27-03-2007
- Messages: 2
Zend_Db_Table : find()
Bonjour,
J'utilise ceci:
$rows = $table->find($id);
Est-ce je dois explicitement filtrer le contenu de $id ou le Zend Framework le prend en charge avec sa méthode find?
Merci!
Karine Majeau
Consultante en développement Web
Dernière modification par Karine (27-03-2007 19:08:35)
Hors ligne
#2 27-03-2007 22:36:39
- quode
- Membre
- Date d'inscription: 22-03-2007
- Messages: 20
Re: Zend_Db_Table : find()
Si on regarde les sources de Zend_Db_Table_Abstract, on voit que le sql utilisé est proprement généré avec quoteInto, quoteIdentifier etc.
Je pense que cela répond à votre question.
All software problems can be solved by introducing an extra level of indirection. Well, almost.
Hors ligne
#3 28-03-2007 09:34:49
Re: Zend_Db_Table : find()
La requête sera protégée des insertions SQL.
Cependant tu dois vérifier le contenu de ta variable pour éviter d'executer une requête pour rien. Si $id contient des lettres alors qu'il doit contenir uniquement des chiffres, la requête sera éxécuté pour rien.
Hors ligne
#4 28-03-2007 13:17:52
- okworld
- Nouveau membre
- Date d'inscription: 28-03-2007
- Messages: 6
Re: Zend_Db_Table : find()
en matiere de securite il faut tjs filtrer et refiltrer, ensuite ca depent aussi d'ou vient ton id, mais si ton id est int
alors un casting t'eviteras bien des pb
$rows = $table->find((int) $id);
Hors ligne
#5 28-03-2007 14:13:31
- Karine
- Nouveau membre
- Date d'inscription: 27-03-2007
- Messages: 2
Re: Zend_Db_Table : find()
Merci de vos réponses!
Je vais utiliser find() sans crainte 
Hors ligne
Développement par Kitpages