Tramite Zend, offiamente, come si fa ha impedore di inserire nei moduli codice valido.
con php si usava cose del genere: mysql_real_escape_sstring, get_magi_quotes_gpc, htmlentities(), strip_tags().
Sicurezza form
2 risposte
mysql_real_escape_string non è più necessario perché Zend_Db provvede automaticamente ad effettuare l'escape dei dati. In alcuni (rari) casi è necessario procedere manualmente a questa operazione, usando il metodo quote() di Zend_Db
La funzione htmlentities, utilizzata prima di mostrare un dato, invece è sostituita dal metodo $this->escape() da usare negli script di view
:bye:
Oltretutto Note: mysql_real_escape_string() does not escape % and _. These are wildcards in MySQL if combined with LIKE, GRANT, or REVOKE. Così come scritto nel manuale.
Quindi attenzione a non dare per sconatata la sicurezza solo perché ci si ricorda di usarla oltre al fatto che la strada migliore se non si usano framework come Zend è quella di scordarsi le mysql_ ma usare le improved o meglio ancora le funzioni PDO.
Effettua l'accesso o registrati per rispondere a questa domanda