日本語:Dbal.sql escape

dbal::sql_escape -- SQL クエリ内で使われている文字列をエスケープする.

説明
string dbal::sql_escape ( string $msg )

例 #1 使い方
$username = request_var('username', '');

$sql = 'SELECT * FROM '. SOME_TABLE. "   WHERE username = '". $db->sql_escape($username). "'";

例 #2 脆弱な SQL
$city = "'s Hertogenbosch";

$sql = 'SELECT state FROM '. MY_TABLE. "   WHERE city = '$city'"; $result = $db->sql_query($sql);

例 #3 エスケープ済みのクエリ
$sql_ary = array(   'city' => $city,    'state' => $state, );

$sql = 'INSERT INTO '. MY_TABLE. ' ' . $db->sql_build_array('INSERT', $sql_ary);

参照

 * Database Abstraction Layer
 * request_var

Dbal.sql_escape