在数据库中插入数据之前从表单输入中获取数据时,是否必须使用Zend_Form等任何类型的转义函数(如mysqli_real_escape_string()?或者zend为我自动转义数据?
答案 0 :(得分:1)
获取Zend_Form实例的数据时,可以使用2种方法:
$form->getValues();
这个给你过滤的值。
$form->getUnfilteredValues();
这个将为您提供用户输入的原始值。
在Zend Framework中,默认情况下你没有转义,相反你应该自己担心。
对此的好规则是“过滤输入,转义输出”。如果有可能获得XSS或其他类型的漏洞。
使用预准备语句来防止注入并在视图中转义数据以防止XSS。