db的escape能有效转义?
我看了下源码,最底层的源码是str_replace("'", "''", remove_invisible_characters($str, FALSE));这这是把单引号替换成双引号,这跟斜杠转义不同吧? 你看的是哪个方法? Hex 发表于 2019-7-11 22:50你看的是哪个方法?
db只有一个escape吧? 对,这个是底层函数,不能直接使用,所以他不是用来防 SQL 注入的。 Hex 发表于 2019-7-12 22:21
对,这个是底层函数,不能直接使用,所以他不是用来防 SQL 注入的。
这坑也太大了把,手册上说这是转义的,居然没有效果 canid 发表于 2019-7-13 15:33
这坑也太大了把,手册上说这是转义的,居然没有效果
手册写了,不要直接使用这个函数。
建议使用 query builder 来做数据库查询,这是正确的打开方式。
页:
[1]