堆栈内存溢出
  繁体   English   中英

在Codeigniter中转义SQL查询

[英]Escaping SQL queries in Codeigniter

 原文  2012-06-10 12:05:48       php/ mysql/ codeigniter/ activerecord

问题描述

我使用CodeIgniter将一些数据插入MySQL表。 因为我使用INSERT IGNORE INTO并且不想编辑活动记录类来启用此功能,所以我手动生成SQL查询。 

$this->db->query("INSERT IGNORE INTO my_table(lat, lng, date, type)
                        VALUES ('" . $data['lat'] . "', '" . $data['lng'] . "', '" . $data['date'] . "', '" . $data['type'] . "')");

问题: $data['type']中的字符串包含单引号时查询失败。 如何使这些需要转义的字符自动转义,就像使用Active记录一样?

2 个解决方案

解决方案1
 23 已采纳  2012-06-10 12:14:00

另一种方法是使用Query Binding自动转义所有值: 

$sql = "INSERT IGNORE INTO my_table(lat, lng, date, type) VALUES (?,?,?,?);"; 
$this->db->query($sql, array($data['lat'], $data['lng'], $data['date'], $data['type']));

解决方案2
 8  2012-06-10 12:08:02

使用$ this-> db-> escape(); 它会自动转义字符串

此函数确定数据类型,以便它只能转义字符串数据。 它还会自动在数据周围添加单引号,因此您不必: 

$this->db->query("INSERT IGNORE INTO my_table(lat, lng, date, type)
VALUES ('" . $this->db->escape($data['lat']) . "', '" . $this->db->escape($data['lng']) . "', '" . $this->db->escape($data['date']$this->db->escape . "', '" . $this->db->escape($data['type']) . "')");

这是参考点击这里

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Codeigniter转义查询 CodeIgniter-转义SQL SQL查询转义+ codeigniter 在Codeigniter中合并2个SQL查询 在codeigniter中逃避了针对SQL注入的足够保护 在Codeigniter 2.0中编写SQL查询 每个页面上的SQL查询都会加载codeigniter 是否可以在CodeIgniter中使用手动SQL查询? 在CodeIgniter 1.7中获取原始SQL查询 奇怪的Codeigniter查询转义
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM