Drupal SQL 注入攻击预防和表单中的撇号处理
在典型的 PHP 应用程序中,我在执行 SQL 插入之前使用 mysql_real_escape_string 。但是我无法在 Drupal 中做到这一点,因此需要一些帮助。如果没有任何类似的功能,带有撇号的用户输入就会破坏我的代码。
请建议。
谢谢
我的SQL如下:
$sql = "INSERT INTO some_table (field1, field2) VALUES ('$field1', '$field2')";
db_query($sql);
in typical PHP applications I used to use mysql_real_escape_string before I did SQL inserts. However I am unable to do that in Drupal so would need some assistance. And without any sort of function like that, user input with apostrophes is breaking my code.
Please suggest.
Thank You
My SQL is as follows:
$sql = "INSERT INTO some_table (field1, field2) VALUES ('$field1', '$field2')";
db_query($sql);
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
用 {} 包裹您的表格。
另外,使用正确的占位符语法进行插入,例如 %d 表示数字,%s 表示字符串。
以下是函数 API 页面:
http://api.drupal.org/api/function /db_query/6
请注意,它有参数。
例子:
Wrap your table with {}.
Also, use the proper placeholder syntax for insertion, like %d for numbers, %s for strings.
Here is the function API page:
http://api.drupal.org/api/function/db_query/6
Note that it has arguments.
Example: