[英]Wordpress: wpdb->insert VERSUS wpdb->prepare(wpdb->query("INSERT
我想知道wordpress'insert函数是否也为数据添加了斜杠。 如果不是,那么看起来准备查询方法会更好地防止SQL注入。 我尝试在codex / api中查找问题; 然而,它似乎没有记录。 谢谢!
这个问题有点陈旧,自从被问到以后,手抄本可能已经更新了。 wpdb->insert()
和wpdb->prepare()
提供了与SQL转义输入数据相同的安全级别。
codex声明提供给insert方法的列和数据值都应该是原始的,而不是SQL转义的。
我也快速查看了来源确认。 insert方法的实现使用wpdb->prepare()
。
Wordpress使用ezSQL查询数据库。 从技术上讲,它不是一个抽象层,但它确实带走了一些样板代码。 ezSQL有一个函数escape
所以我假设Wordpress总是在执行查询之前调用转义函数。 但要确定你必须看一下源代码。
这是你在Wordpress中转义字符串的方法:
$safe_string = $wpdb->escape($unsafe_string);
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.