用户
 找回密码
 入住 CI 中国社区
搜索
CodeIgniter 中国开发者社区»论坛 CodeIgniter 开发 CodeIgniter 问答求助 db的escape能有效转义?
返回列表 发新帖
查看: 1761|回复: 5
收起左侧

[数据库] db的escape能有效转义?

[复制链接]
canid
发表于 2019-7-11 07:32:14 | 显示全部楼层 |阅读模式
我看了下源码,最底层的源码是
  1. str_replace("'", "''", remove_invisible_characters($str, FALSE));
复制代码
这这是把单引号替换成双引号,这跟斜杠转义不同吧?
回复

使用道具 举报

Hex
发表于 2019-7-11 22:50:26 | 显示全部楼层
你看的是哪个方法?
回复 支持 反对

使用道具 举报

canid
 楼主| 发表于 2019-7-12 19:22:59 | 显示全部楼层
Hex 发表于 2019-7-11 22:50
你看的是哪个方法?

db只有一个escape吧?
回复 支持 反对

使用道具 举报

Hex
发表于 2019-7-12 22:21:44 | 显示全部楼层
对,这个是底层函数,不能直接使用,所以他不是用来防 SQL 注入的。
回复 支持 反对

使用道具 举报

canid
 楼主| 发表于 2019-7-13 15:33:08 | 显示全部楼层
Hex 发表于 2019-7-12 22:21
对,这个是底层函数,不能直接使用,所以他不是用来防 SQL 注入的。

这坑也太大了把,手册上说这是转义的,居然没有效果
回复 支持 反对

使用道具 举报

Hex
发表于 2019-7-13 23:07:56 | 显示全部楼层
canid 发表于 2019-7-13 15:33
这坑也太大了把,手册上说这是转义的,居然没有效果

手册写了,不要直接使用这个函数。
建议使用 query builder 来做数据库查询,这是正确的打开方式。
回复 支持 反对

使用道具 举报

返回列表 发新帖

本版积分规则