Zend_Db_Table_Abstract:保存- sql注入

Question

当使用Zend_Db_Table_Abstract Save函数更新数据库时，我需要担心SQL注入(引用我的参数)还是自动完成？

如何查看查询的外观？

Answer 1

不，在使用save()时，您不必担心SQL注入。

在幕后，Zend Framework使用Zend_Db_Adapter_Abstract::insert()和Zend_Db_Adapter_Abstract::update()，它们使用绑定参数。框架将对所有值进行转义以防止SQL注入。

SQL注入的唯一风险是在使用Zend_Db_Expr创建自定义/高级查询时，但在使用save()时不会发生这种情况。

您可能希望查看一下Zend_Db_Profiler，以列出该框架生成的所有查询。

或者，您也可以启用数据库查询日志。请参阅MySQL的How to enable MySQL Query Log?或Postgres的How to log PostgreSQL queries?。