Zend FR
Consultez la FAQ sur le ZF avant de poster une question
Vous n'êtes pas identifié.
#1 11-08-2008 15:04:40
- DarKA
- Membre
- Date d'inscription: 18-07-2007
- Messages: 84
Zend et prévenir l'injection SQL
Bonjour,
Ayant désactivé magic quotes gpc,(par anticipation de php6 vu que cette méthode disparait) une méthode qui mettais automatiquement des slashes dans mes variables, je voudrais savoir comment pouvoir mettre automatiquement des filtres dans mes variables autrement.
J'ai cru comprendre que PDO permettais cela automatiquement mais cela ne marche plus pour moi.
De plus j'envisage de ne plus utiliser PDO, donc voila, j'aimerais savoir pourquoi il n'y a pas un filtre :addslash.
J'aimerais en fait une forme de filtre, ou quelquechose du genre. J'ai fais la connaissance de la méthode quote, mais elle s'avère trop compliquée pour l'usage que je veux en faire.
Auriez vous une idée ?
Hors ligne
#2 11-08-2008 15:26:39
- philippe
- Administrateur
- Lieu: Grenoble
- Date d'inscription: 01-03-2007
- Messages: 1624
Re: Zend et prévenir l'injection SQL
Bonjour,
Si tu utilises les fonctions Zend_Db, tu as des echapements SQL par défaut
http://framework.zend.com/manual/en/zen … pter.write
Sinon tu as effectivement l'utilise de $db->quote ou $db->quoteInto qui peuvent t'aider quand tu es dans des cas particuliers non couverts par les fonctions classisques de Zend_Db.
Le problème des magic_quote_gpc, c'est que ça ne résolvait pas tous les problèmes d'injection et que ça pourrissait certaines données (pourquoi ajouter des "\" devant les " par exemple...).
Effectivement c'est plus verbeux de faire ses échappement à la main, mais Zend_Db aide beaucoup....
A+, Philippe
twitter : @plv ; kitpages.fr : Création de sites internet à Grenoble et Paris
Hors ligne
#4 12-08-2008 11:08:10
- DarKA
- Membre
- Date d'inscription: 18-07-2007
- Messages: 84
Re: Zend et prévenir l'injection SQL
Mon problème moi, c'est que j'ai une erreur d'insertion. Le zend me dit que ma requête a été mal formée. Tout ça pour quoi, parce qu'il y a un apostrophe qui fait planter la requête.
Donc, je ne sais pas pourquoi mais ça ne marche pas.
Hors ligne
#5 12-08-2008 11:16:32
- philippe
- Administrateur
- Lieu: Grenoble
- Date d'inscription: 01-03-2007
- Messages: 1624
Re: Zend et prévenir l'injection SQL
Tu peux envoyer le bout de code qui plante ? A priori, c'est un problème d'utilisation de Zend_Db.
Zend_Db peut insérer une apostrophe dans un champs texte sans problème, il fait tous les échappements qui vont bien sans problème.
A+, Philippe
twitter : @plv ; kitpages.fr : Création de sites internet à Grenoble et Paris
Hors ligne
Développement par Kitpages