-2

我正在尝试在数据库(mysql)中插入数据,但当我尝试使用单引号或双引号添加数据时没有成功。否则它工作正常(没有引号)。我知道我们必须mysql_real_escape_string在这种情况下使用。但我正在使用这个功能不起作用的 joomla 框架。

我的代码如下:

function insert($table, $array) {
$db = JFactory::getDBO();
 $query = "INSERT INTO ".$table;
  $fis = array();
  $vas = array();
  foreach($array as $field=>$val) {

 if(is_array($val)){
 $x= implode(",",$val);
 }
 else
 {
 $x=$val;
 }

   $fis[] = "`$field`";//you must verify keys of array outside of function;
                         //unknown keys will cause mysql errors;
                         //there is also sql injection risc;
    $vas[] = "'".$x."'";
  }
$query .= " (".implode(", ", $fis).") VALUES (".implode(", ", $vas).")";
$db->setQuery($query);
$db->query();
}
insert('#__storage_companies',JRequest::get( 'post' ));

请告诉我如何摆脱这种情况。

4

2 回答 2

5

请参阅JDatabaseDriver::quote。像使用$db->quote($value)。还要引用字段名称,请使用$db->quoteName($value).

查看从 Joomla wiki准备查询。

你的代码应该是这样的:

$fis[] = $db->nameQuote($field);
$vas[] = $db->quote($x);
于 2012-10-05T15:28:38.330 回答
-1

你不能自己逃避引号吗?

做就是了:

$val = str_replace(array("'", '"'), array("\\'", '\\"'), $val);
于 2012-10-05T15:22:04.143 回答