我在 Zend Framework 中做一些查询,我需要确保在下一种格式中没有 SQL 注入是可能的。我可以使用 mysql_escape(deprecated) 并且不会做所有的工作。如果我尝试使用 real_mysql_escape,它将无法获取与数据库的连接,并且我无法找到 zend_filter 将如何解决问题。
我正在做的查询(简化)具有以下语法:
$db = Zend_Registry::get('db');
$select = "SELECT COUNT(*) AS num
FROM message m
WHERE m.message LIKE '".$username." %'";
$row = $db->fetchRow($select);
使用此框架防止 SQL INJECTION 的最佳方法是什么?