。更好地防止对SQL注入我试图寻找这个问题了在那里抄本/ API;!然而,似乎没有证件 感谢WordPress的:wpdb->插入VERSUS wpdb->准备(wpdb->查询(“INSERT
4
A
回答
4
WordPress使用ezSQL查询数据库技术上讲,它不是一个抽象层,但它确实带走了一些样板代码,ezSQL有一个功能escape
,所以我假设Wordpress在执行查询之前总是调用escape函数,但要确定你必须看看源代码
这是你如何逃避WordPress的字符串:
$safe_string = $wpdb->escape($unsafe_string);
12
这个问题是一个小老头和食品可能已更新,因为有人问。 wpdb->insert()
和wpdb->prepare()
都提供了与输入数据的SQL转义相同的安全级别。
codex states表示提供给插入方法的列和数据值应该是原始的,而不是SQL转义的。
我也快速浏览了一下源码来确认。插入方法的实现使用wpdb->prepare()
。
相关问题
- 1. 准备插入查询
- 2. Wordpress - 插入为准备好的查询vs $ wpdb-> insert_id
- 3. WordPress Pages VERSUS WordPress Categories
- 4. 准备查询
- 5. 准备查询
- 6. 插入值:准备好的语句或多个值的查询?
- 7. 准备SQL查询
- 8. PHP/MySQL的:动态准备语句插入/更新查询
- 9. PHP PDO准备插入查询。值不通过的问题
- 10. sqllite3准备插入查询在iphone编程
- 11. MySQL准备好声明加入查询
- 12. 准备查询与构建查询
- 13. 用准备好的查询
- 14. PDO准备插入值
- 15. MySQLi插入准备错误
- 16. INSERT查询
- 17. 创建INSERT-OUTPUT-INSERT查询
- 18. CakePHP查询准备加入语句和子查询
- 19. MySQLi:查询VS准备
- 20. 准备动态mysql查询
- 21. PHP PDO准备查询
- 22. Wordpress插入查询不起作用
- 23. 准备默认查询
- 24. MySQLdb的/ Python的INSERT查询不将数据插入到表
- 25. Wordpress准备失败...?
- 26. Wordpress wpdb使用无人参与准备查询“'”
- 27. INSERT查询显示插入的数据,但实际上没有插入数据
- 28. 无法准备与子查询
- 29. 的MySQL从Java:插入使用PreparedStatement INSERT查询参数
- 30. 复杂INSERT查询
+1。不再做wordpress的东西;然而,这个答案很有用。我记得不知道准备什么或者为什么所有的例子都使用它。 – Parris 2013-04-16 17:19:53