Sicurezza form

Tramite Zend, offiamente, come si fa ha impedore di inserire nei moduli codice valido.

con php si usava cose del genere: mysql_real_escape_sstring, get_magi_quotes_gpc, htmlentities(), strip_tags().

inviato 5 anni fa
lucavalentino
X 0 X

mysql_real_escape_string non è più necessario perché Zend_Db provvede automaticamente ad effettuare l'escape dei dati. In alcuni (rari) casi è necessario procedere manualmente a questa operazione, usando il metodo quote() di Zend_Db

La funzione htmlentities, utilizzata prima di mostrare un dato, invece è sostituita dal metodo $this->escape() da usare negli script di view

 :bye:

risposto 5 anni fa
Gianni Tomasicchio
X 0 X

Oltretutto     Note: mysql_real_escape_string() does not escape % and _. These are wildcards in MySQL if combined with LIKE, GRANT, or REVOKE. Così come scritto nel manuale.

Quindi attenzione a non dare per sconatata la sicurezza solo perché ci si ricorda di usarla oltre al fatto che la strada migliore se non si usano framework come Zend è quella di scordarsi le mysql_ ma usare le improved o meglio ancora le funzioni PDO.

risposto 5 anni fa
Marco Grazia
X 0 X
Effettua l'accesso o registrati per rispondere a questa domanda