mysql db类_避免使用Zend_Db类进行MySQL注入

最新推荐文章于 2021-03-25 21:54:38 发布
最新推荐文章于 2021-03-25 21:54:38 发布
阅读量107 收藏
点赞数
文章标签: mysql db类
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33712536/article/details/113906742
版权

小编典典

当我是该项目的团队负责人(直到1.0版)时,我在Zend Framework中编写了很多用于数据库参数和引用的代码。

我尽力鼓励最佳做法,但必须在易用性之间取得平衡。

请注意,您始终可以检查Zend_Db_Select对象的字符串值,以了解其决定引用的方式。

print $select; // invokes __toString() method

您也可以使用Zend_Db_Profiler来检查由代表您运行的SQL Zend_Db。

$db->getProfiler()->setEnabled(true);

$db->update( ... );

print $db->getProfiler()->getLastQueryProfile()->getQuery();

print_r $db->getProfiler()->getLastQueryProfile()->getQueryParams();

$db->getProfiler()->setEnabled(false);

以下是针对您的特定问题的一些答案:

Zend_Db_Select::where('last_name=?', $lname)

值用适当的引号引起来。尽管“

?”看起来像参数占位符,但是在这种方法中,实际上是对引号进行了适当的引用和内插。因此,这不是真正的查询参数。实际上,以下两个语句产生的查询与上述用法完全相同:

$select->where( $db->quoteInto('last_name=?', $lname) );

$select->where( 'last_name=' . $db->quote($lname) );

但是,如果传递的参数是类型为object的对象Zend_Db_Expr,则该参数不会被引用。您要对SQL注入风险负责,因为它是逐字插入的,以支持表达式值:

$select->where('last_modified < ?', new Zend_Db_Expr('NOW()'))

该表达的任何其他部分需要用引号引起来或定界,这是您的责任。例如,如果您将任何PHP变量插值到表达式中,则安全是您的责任。如果您具有作为SQL关键字的列名,则需要使用来分隔它们quoteIdentifier()。例:

$select->where($db->quoteIdentifier('order').'=?', $myVariable)

Zend_Db_Adapter_Abstract::insert( array('colname' => 'value') )

表名和列名是有界的,除非您将其关闭AUTO_QUOTE_IDENTIFIERS。

将值参数化为真正的查询参数(未插值)。除非该值是一个Zend_Db_Expr对象,否则它将逐字插入,因此您可以插入表达式NULL或其他内容。

Zend_Db_Adapter_Abstract::update( array('colname' => 'value'), $where )

表名和列名是有界的,除非您将其关闭AUTO_QUOTE_IDENTIFIERS。

值是参数化的,除非它们是方法中的Zend_Db_Expr对象insert()。

该$where参数根本没有被过滤,因此您应对其中的任何SQL注入风险负责。您可以利用该quoteInto()方法使报价更加方便。

2020-05-17

皮肤科博士-Qson
关注
Zend_Db_Adapter_MysqlZend_Db_Statement_Mysql
10-12
不支持PDO 、MYSQLI的空间也可以用ZEND框架了 解包后到 Zend 的框架目录 library\Zend\Db 在PHP程序里 $db = Zend_Db::factory('Mysql', $params); 即把原来的 PDO_MYSQL 等改成 Mysql
Zend Framework教程之Zend_Db_Table用法详解
10-22
通过工厂方法`Zend_Db::factory`,可以创建一个数据库连接对象,例如使用PDO_MYSQL作为适配器。之后,通过调用`Zend_Db_Table::setDefaultAdapter`方法,可以为所有Zend_Db_Table对象设置默认的数据库适配器。 ```...
zend/db.php,php – 避免使用Zend_Db进行MySQL注入
weixin_30499315的博客
03-25 155
我在Zend Framework中编写了大量数据库参数和引用的代码,而我是该项目的团队负责人(最多为1.0).我尽可能地鼓励最佳做法,但是我必须平衡使用.请注意,您可以随时检查Zend_Db_Select对象的字符串值,以查看它如何决定引用.print $select; // invokes __toString() method此外,您可以使用Zend_Db_Profiler检查由Zend_Db...
关于zendframework中的Zend_Db_Expr(不自动加引号)
经验之谈,不做搬运工
09-15 197
    在zendframework中使用Db时,框架会自动给sql语句添加引号以防止数据库攻击 ,这就导致了一个问题,用户无法使用zend db使用mysql的内置函数(方法,存储过程等)。好在zend框架提供了一个Zend_Db_Expr,此的构造函数会告诉框架不要对它所转化的进行添加引号的操作。    如:    $select=$db-&gt;selec...
Zend_Db_Expr
ArcticFoxHan的专栏
09-11 1743
zendframework中使用Db时,框架会自动给sql语句添加引号以防止数据库攻击 ,这就导致了一个问题,用户无法使用zend db使用mysql的内置函数(方法,存储过程等)。好在zend框架提供了一个Zend_Db_Expr,此的构造函数会告诉框架不要对它所转化的进行添加引号的操作。
Zend_Db_Table详解
雨林
04-17 604
■ 检索全部字段信息①使用语句可以检索出(student)的所有字段信息: (1). $tableModel->fetchall() (2). $tableModel->fetchall($where,$order,$count,$offset) (3). 通过adapter来解决可读性和参数注入的问题 ■ 检索部分字段信息 ①使用语句可以检索出(Student)的部分字段信息 $s
关于Zend_Db_Expr
经验之谈,不做搬运工
01-06 243
 * Class for SQL SELECT fragments.  *  * This class simply holds a string, so that fragments of SQL statements can be  * distinguished from identifiers and values that should be implicitly...
Zend Framework框架教程之Zend_Db_Table_Rowset用法实例分析
10-22
Zend Framework中,Zend_Db_Table_Rowset是用于操作数据库表中多行数据的对象集合的迭代器,它帮助开发者高效地处理结果集。 本教程将通过实例深入分析Zend_Db_Table_Rowset的用法,为希望利用此组件进行数据库...
深入理解Zend Framework:Zend_Db_Table使用教程
"这篇教程详细介绍了在Zend Framework中如何使用Zend_Db_Table进行数据库操作,包括其功能、使用方法以及相关的注意事项。" 在 Zend Framework 中,`Zend_Db_Table` 是一个非常重要的组件,它允许开发者方便地与...
Zend Framework教程-Zend_Db-数据库操作2-Zend_Db_Statement
梦想摆渡的专栏
07-03 3538
一、Zend_Db_Statement官方文档翻译。 zend此部分文章,没有给出中文翻译,其实如果少有pdo开发经验的人,也不难看懂。这里做粗略的补全,如有歧义,可以参考原文理解。 Zend_Db_Statement In addition to convenient methods such as fetchAll() and insert() documented in Z
zend/db.php,Zend_Db数据库操作
weixin_34620658的博客
03-25 300
Zend_Db数据库操作Web语言编程离不开数据的支持。Zend Framework框架中连接和操作数据库是利用Zend_Db组件。Zend_Db组件是一个基于PDO模块的数据库抽象层api,它可以支持多种数据库,如MySQL、SQLite、SQL Server等。Zend_Db_Adapter数据库操作应用Zend_Db_Adapter必须静态调用Zend_Db::factory()方法。如调用...
Zend Framework教程-Zend_Db-数据库概述
梦想摆渡的专栏
06-25 3323
Zend Framework中,对数据库的封装,主要采用了工厂模式和适配器模式。具体模式的说明,可以参考设计模式相关的文章。 主要有如下几个功能: 一、Zend_Db_Adapter  Zend_Db_Adapter是Zend Framework的数据库抽象层API, 你可以使用 Zend_Db_Adapter 连接和处理多种数据库,包括:Microsoft SQL
ZendFramework3数据库操作zend-db
newlooc的博客
10-07 2803
一. zend-db(2.8^)介绍 zend-dbZendFramework3的数据库操作模块,支持常见的数据库.官方文档对其的介绍很粗略,没有详细介绍其子句,链式操作.文本将做部分补全.并简单介绍一个开源程序,对zend-db的操作进行简化. 1. Zend\Db\Sql\Sql(以下简称Sql) Sql是zend-db的核心,封装了INSERT,DELETE,UPDATE,SELECT这四
zend/db.php,Zend Framework入门教程之Zend_Db数据库操作详解
weixin_42314399的博客
03-25 365
本文实例讲述了Zend Framework中Zend_Db数据库操作方法。分享给大家供大家参考,具体如下:引言:Zend操作数据库通过Zend_Db_Adapter它可以连接多种数据库,可以是DB2数据库、MySQli数据库、Oracle数据库。等等。只需要配置相应的参数就可以了。下面通过案例来展示一下其连接数据库的过程。连接mysql数据库代码:...
Zend_Db
沼沼同学的专栏
03-27 346
1.数据库连接 连接MySQL,本地数据库camelot,用户名是malory <?php require_once 'Zend/Db.php'; $params = array ('host' => '127.0.0.1', 'username' => 'malory', 'password' => '***
Zend Framework教程-Zend_Db-数据库操作3-Zend_Db_Table 、Zend_Db_Table_Row 、Zend_Db_Table_Rowset
梦想摆渡的专栏
08-11 4179
Zend_Db_Table  Zend_Db_Table集成了Zend_Db_Table_Abstract抽象基。实现了对数据表操作的相关方法。要使用Zend_Db_Table。需要将Zend_Db_Table设置为默认的适配器。 使用举例如下: 项目一/db_demos1为例。用zend studio创建默认的应用项目即可 数据库为test。表为user表。大概如下: C
Magento 记事本
weixin_34138377的博客
04-19 123
2019独角兽企业重金招聘Python工程师标准>>> ...
Zend FrameWok中调用mysql的存储过程
lqc851011的专栏
05-23 1621
Zend FrameWork中调用mysql的存储过程方法如下:$db = Zend_Db::factory($sql_DbType,$sql_Config);$connection=$db->getConnection();Zend_Registry::set("db",$db);Zend_Registry::set("connect",$connection); 调用存储过程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值