Prestashop Tools :: getValue() -Funktion nicht sql Injektion entkommen?

Question

Ich las im Prestashop-Forum, dass die Funktion Tools::getValue() nicht sql-Injektion entkommen. Jetzt frage ich mich, wie ich diese Funktion von SQL-Injektion verhindern kann, wenn ich Zeichenfolge oder Int-Wert erhalten möchte?

Kann mir jemand ein Beispiel zeigen?

Answer 1

Tools::getValue() ruft nur den POST- oder GET-Wert ab.

Um SQL-Injektion zu verhindern, können Sie pSQL() Funktion oder für Int-Werte können Sie Typecasting tun.

$int_val = (int)Tools::getValue('someValue'); 
$string_val = pSQL(Tools::getValue('someValue'));