4

在典型的 PHP 应用程序中,我曾经在执行 SQL 插入之前使用 mysql_real_escape_string。但是我无法在 Drupal 中做到这一点,因此需要一些帮助。如果没有任何类似的功能,带有撇号的用户输入会破坏我的代码。

请建议。

谢谢你

我的SQL如下:

$sql = "INSERT INTO some_table (field1, field2) VALUES ('$field1', '$field2')";

db_query($sql);

4

1 回答 1

5

用 {} 包裹您的桌子。

此外,使用正确的占位符语法进行插入,例如 %d 代表数字,%s 代表字符串。

这是函数 API 页面:

http://api.drupal.org/api/function/db_query/6

请注意,它有参数。

例子:

db_query('INSERT INTO {tablename} (field1, field2) VALUES ("%s", "%s")', $field1, $field2);
于 2010-06-18T03:54:28.793 回答