手册中关于escape()的疑问。
将数据转义以后提交到你的数据库是非常好的安全做法,CodeIgniter提供了两个函数帮助你完成这个工作。$this->db->escape() 这个函数将会确定数据类型,以便仅对字符串类型数据进行转义。它将会自动增加单引号(single quotes)在数据的周围,所以你不能这样做:
$sql = "INSERT INTO table (title) VALUES(".$this->db->escape($title).")";
请问这是什么意思呢?转义是在'等字符前加上\吗?:\'( 应该是自动增加单引号吧,也许翻译的有问题,呵呵,可以看看原文。 对,看看原文把。
页:
[1]