Zend FR
Consultez la FAQ sur le ZF avant de poster une question
Vous n'êtes pas identifié.
Pages: 1
- Accueil forums
- » Composants de bases du framework
- » [1.5.1] Echapper une donnée de formulaire en vue d'une recherche en DB
#1 27-05-2008 11:04:36
- Bast
- Membre
- Date d'inscription: 07-06-2007
- Messages: 138
[1.5.1] Echapper une donnée de formulaire en vue d'une recherche en DB
Bonjour !
Comment échappez vous vos données POST avant de vous en servir dans une requête sql ?
Merci d'avance 
Hors ligne
#2 27-05-2008 14:06:27
- philippe
- Administrateur
- Lieu: Grenoble
- Date d'inscription: 01-03-2007
- Messages: 1624
Re: [1.5.1] Echapper une donnée de formulaire en vue d'une recherche en DB
Normalement oui, c'est nécessaire. Après si tu utilises Zend_Db_Table, ça n'est pas toujours nécessaire. sinon dans Zend_Db, il faut bien comprendre tout ce qui est quote et quoteInto.
A+, Philippe
twitter : @plv ; kitpages.fr : Création de sites internet à Grenoble et Paris
Hors ligne
#3 27-05-2008 14:16:05
- Bast
- Membre
- Date d'inscription: 07-06-2007
- Messages: 138
Re: [1.5.1] Echapper une donnée de formulaire en vue d'une recherche en DB
En fait je sais que c'est nécessaire !
Mais je voudrais savoir un peu comment vous vous y prenez lorsqu'il s'agit de faire un select (de quelle manière créez vous votre where), un insert/update, mais aussi lorsqu'il faut faire un affichage (venant de la base, ou bien d'un formulaire).
En gros je cherche à faire les correspondances avec les htmlentities, addslashes, stripslashes, mysql_real_escape_string et cie. A quel moment doit-on explicitement faire un filtrage? A quel moment cela est automatique?
Bref ce genre de questions
Si un tuto existe, ça m'intéresse aussi !
Hors ligne
#4 27-05-2008 15:28:13
- sekaijin
- Membre
- Date d'inscription: 17-08-2007
- Messages: 1137
Re: [1.5.1] Echapper une donnée de formulaire en vue d'une recherche en DB
la vue travaille dans le format de la vue donc html entities et autre truc du genre si c'est du html
le controleur lui travaille avec des données string donc rien si ce n'est des filters
le modèle lui aussi travaille avec des données les chaine sont des chaines rien de plus.
la couche d'accès au donnée elle travail avec un gisement de donnée c'est donc à elle d'appeler les méthode corrspondant à sont gisement pour bien traiter les chaines d'où la présence des quote et quoteinto
ne pas utiliser de fonction comme mysql_real_escape_string utiliser les méthode quote et quoteinto de Zend_DB qui tiennent compte de la base sur laquelle il est connecté.
ainsi un code développé pour une base a plus de change de fonctionner sur une autre.
il n'y a pas de toto car ça ne sert à rien.
tu mets des html entites dans tes vu qui font du html et des quote et quoteinto dans tes requêtes c'est tout
A+JYT
Hors ligne
#5 27-05-2008 18:42:13
- Bast
- Membre
- Date d'inscription: 07-06-2007
- Messages: 138
Re: [1.5.1] Echapper une donnée de formulaire en vue d'une recherche en DB
Ok merci beaucoup
Hors ligne
Pages: 1
- Accueil forums
- » Composants de bases du framework
- » [1.5.1] Echapper une donnée de formulaire en vue d'une recherche en DB
Développement par Kitpages