Registrace vlastního rendereru

Taky mám pocit, že tohle musí fungovat… jenže nefunguje. Nenapadá mě, kde hledat chybu.

Nette používám bez MVP. Ve skriptu to mám řešeno následovně:

function formPodpora($id=NULL)
{
	// definice formulare
	$form = new MyForm;

	$form->addHidden('id', $id);

	$form->addGroup();
	$form->addDate('datum', 'Datum');
	$form->addText('stravenky', 'Počet stravenek', 15, 15);
	$form->addSelect('uhrada', 'Forma úhrady', array(
		'P' => 'převodem',
		'H' => 'hotově',
	))
			->skipFirst('-- vyberte --');
	$form->addText('doklad', 'Číslo dokladu', 15, 15);
	$form->addText('castka', 'Částka', 15, 15);

	$form->addGroup();
	$form->addSubmit('save', 'Uložit');

	$form->onSubmit[] = 'formPodporaSubmitted';

	// nastaveni vychozich hodnot
	if(!$form->isSubmitted() && isset($id))
	{
		$sql = "
			SELECT * FROM podpora
			WHERE id='$id' LIMIT 1
		";
		$form->setDefaults(Db::db_query_fetch_array($sql));
	}

	return $form;
}
.
.
.
echo formPodpora($_GET['id']);

kravčo napsal(a):

SQL injection…

SQL injection ošetřuje třída Db.

Jan Tvrdík napsal(a):

Pochybuji. Technicky to není reálné. Leda, že bys radikálně omezil, jaké SQL dotazy podporuje. (Nebo se spoléhal na magické uvozovky.)

No, stejně plánuju přechod na dibi.
Ale potřebuju spíš poradit s tím problémem rozšířením Nette třídy Form.

To riesenie by fakt malo fungovat, mozes sem postnut este ako vyzera ten tvoj renderer?

Debug::$strictMode = true;

Přesně tak. Pokud totiž slepíš sql dotaz a parametr do jednoho stringu, pak není možné rozeznat, co je dotaz a co data. Sice nevím jak to dokázat, ale prostě to tak je. Prostě si myslím, že ta sql injection je něco dirty