[ZF] czy przy updacie mam w jakis sposob zabezpieczac dane czy nie ? Opcje

[wiewiorek]

jak robie update:

[PHP] pobierz, plaintext 
        public function updateStrona($id_strony, $tytul, $tresc)
	{
		$data = array(
			'tytul' => $tytul,
			'tresc' => $tresc,
		);
 
		$this->update($data, 'id = '. (int)$id_strony);
	}
[PHP] pobierz, plaintext 

a dane w parametrach $id_strony, $tytul, $tresc pochodzą od użytkownika to mam je zabezpieczać przed atakami SQL injection czy nie ? Czy jest w takiej sytuacji automatyczna ochrona czy nie ?

[zend]

[PHP] pobierz, plaintext 
      $where['reported_by = ?'] = 'goofy';
      $where['bug_status = ?']  = 'OPEN';
      $n = $db->update('bugs', $data, $where);
[PHP] pobierz, plaintext 

korzystaj z takiego zapisu, zend zadba o bezpieczeństwo danych

update

[wiewiorek]

Ale mi nie chodzi o $where - to akurat wiadomo, że jest zabezpieczane przez zenda, bo widze '?' - znak zapytania - czyli parametryzacja zapytań. Chodzi mi o zmienną $data, a właściwie dane w tej tablicy. Co z nimi ?

[zend]

ZF zajmie się zabezpieczeniem ich, nie musisz się o to przejmować

[wiewiorek]

dzieki

[Pilsener]

Jeśli mogę coś dodać: po co Ci metoda, która tak naprawdę nic nie robi poza pośrednictwem (przekazuje zmienne z kontrolera do db_table)? Zamiast:

[PHP] pobierz, plaintext 
$model->updateStrona($co,$gdzie);
[PHP] pobierz, plaintext 

Nie prościej:

[PHP] pobierz, plaintext 
$model->update($co,$gdzie);
[PHP] pobierz, plaintext 

-?

O zabezpieczenie sql injection nie musisz się martwić, ale nie zwalnia Ciebie to z obowiązku filtrowania parametrów i danych wrzucanych do bazy (np. kodu HTML).

[zend]

No tak, może, ale może oprócz tego kodu który nam pokazał ma jakąś inną logikę np usuwanie cache'u i trzyma ją w modelu, a nie chce nadpisywać metody update