用户
 找回密码
 入住 CI 中国社区
搜索
查看: 124|回复: 5
收起左侧

[数据库] db的escape能有效转义?

[复制链接]
发表于 5 天前 | 显示全部楼层 |阅读模式
我看了下源码,最底层的源码是
  1. str_replace("'", "''", remove_invisible_characters($str, FALSE));
复制代码
这这是把单引号替换成双引号,这跟斜杠转义不同吧?
发表于 5 天前 | 显示全部楼层
你看的是哪个方法?
 楼主| 发表于 4 天前 | 显示全部楼层
Hex 发表于 2019-7-11 22:50
你看的是哪个方法?

db只有一个escape吧?
发表于 4 天前 | 显示全部楼层
对,这个是底层函数,不能直接使用,所以他不是用来防 SQL 注入的。
 楼主| 发表于 3 天前 | 显示全部楼层
Hex 发表于 2019-7-12 22:21
对,这个是底层函数,不能直接使用,所以他不是用来防 SQL 注入的。

这坑也太大了把,手册上说这是转义的,居然没有效果
发表于 3 天前 | 显示全部楼层
canid 发表于 2019-7-13 15:33
这坑也太大了把,手册上说这是转义的,居然没有效果

手册写了,不要直接使用这个函数。
建议使用 query builder 来做数据库查询,这是正确的打开方式。

本版积分规则