私は私が働いている開発者が使用しているいくつかのZend Frameworkのコードを探しています、そしてそれに、私は以下を参照してください。今Zend FrameworkのSQLインジェクションの保護
$select = new Zend_Db_Select($DB);
$sql = $select->where("id ='".$id."'");
を、$ idがどこにもサニタイズされていませんプレースホルダを使用すると、Zend経由の注入からしか保護されていないという印象を受けました。この文字列は脆弱です。
コードクレームの著者は、この場合でもzendがそれを処理しますが、ドキュメントではそうは言いませんが、私は見つけることができません。
これが実際に安全であれば誰でもクリアできるのですか?
ありがとう、私はここで検証していただきありがとうございます。私はZendフレームワークに精通していませんが、私が知っていることに基づいて...それは間違っているようでした。 :) – Will