Путь к проведению SQL-инъекций в Zend Framework
Хабы: Информационная безопасность,Zend FrameworkВозможно, слегка громкое название статьи, но вопрос поднят именно этот.
Момент первый
Если следовать всем правилам, т.е. использовать внутренние механизмы Zend, подготавливать параметры в методах — то на данный момент нет информации о возможности проведения sql-инъекции. Речь идет о подобных конструкциях:
$select->order($value);
Которые так или иначе встречаются на практике.
Момент второй
В чем же соль? В том, что даже при поступлении параметров в подобные методы без какой-либо подготовки внутренние механизмы все же их подготавливают. Только не все (а некоторые частично) — об этом и речь.
Читать дальше →
Полный текст статьи читайте на Habrahabr.ru
