From phpBB Development Wiki
dbal::sql_escape -- SQL クエリ内で使われている文字列をエスケープする。
説明
string dbal::sql_escape ( string $msg )
パラメータ
| パラメータ
| 必須
| デフォルト
| 使用方法
|
| msg
| はい
|
|
|
返り値
例
例 #1 使い方
$username = request_var('username', '');
$sql = 'SELECT *
FROM ' . SOME_TABLE . "
WHERE username = '" . $db->sql_escape($username) . "'";
例 #2 脆弱な SQL
$city = "'s Hertogenbosch";
$sql = 'SELECT state
FROM ' . MY_TABLE . "
WHERE city = '$city'";
$result = $db->sql_query($sql);
例 #3 エスケープ済みのクエリ
$sql_ary = array(
'city' => $city,
'state' => $state,
);
$sql = 'INSERT INTO ' . MY_TABLE . ' ' . $db->sql_build_array('INSERT', $sql_ary);
参照
