我是否必须使用任何类型的转义函数,如mysqli_real_escape_string()使用Zend_Form从表单的输入中获取数据之前插入数据在db或数据自动转义zend为我?
当您获取Zend_Form实例的数据时,您可以使用2种方法:
$form->getValues();
这个给你过滤的值。
$form->getUnfilteredValues();
这个会给你用户输入的原始值。
在Zend Framework中,默认情况下没有转义,你应该自己考虑。
最好的规则是"过滤输入,转义输出"。如果有机会获得XSS或其他类型的漏洞。
使用准备好的语句来防止注入,并在视图中转义数据以防止XSS。