在zend framework中的命令
$mapperObject->fetchAll($where, $order, $count, $offset);
是否需要注意变量包含的内容或ZF是否会为sql注入而处理它以及所有这些?
答案 0 :(得分:0)
假设这是使用标准Zend_Db_Table->fetchAll,那么只要您使用安全方法创建参数,就确实可以防止SQL注入,例如:
$where = $select->where('id = ?', $id);
// or ..
$where = $select->where('id = :id');
而不是
$where = $select->where('id = $id');