在典型的 PHP 应用程序中,我曾经在执行 SQL 插入之前使用 mysql_real_escape_string。但是我无法在 Drupal 中做到这一点,因此需要一些帮助。如果没有任何类似的功能,带有撇号的用户输入会破坏我的代码。
请建议。
谢谢你
我的SQL如下:
$sql = "INSERT INTO some_table (field1, field2) VALUES ('$field1', '$field2')";
db_query($sql);
在典型的 PHP 应用程序中,我曾经在执行 SQL 插入之前使用 mysql_real_escape_string。但是我无法在 Drupal 中做到这一点,因此需要一些帮助。如果没有任何类似的功能,带有撇号的用户输入会破坏我的代码。
请建议。
谢谢你
我的SQL如下:
$sql = "INSERT INTO some_table (field1, field2) VALUES ('$field1', '$field2')";
db_query($sql);
用 {} 包裹您的桌子。
此外,使用正确的占位符语法进行插入,例如 %d 代表数字,%s 代表字符串。
这是函数 API 页面:
http://api.drupal.org/api/function/db_query/6
请注意,它有参数。
例子:
db_query('INSERT INTO {tablename} (field1, field2) VALUES ("%s", "%s")', $field1, $field2);