我在PDOPDO使用引號與陣列
$sFields = "'".implode("', '", $fields)."'";
$sColumns = implode(", ", $columns);
$sql = "INSERT INTO $table ($sColumns) VALUES ($sFields)";
是新增內容是用PDO ::報價上我想插入每個值的最短途徑。
我試圖
$fields = array_map('$bdd->quote', $fields);
但它返回:
警告:array_map()預計參數1是一個有效的回調,功能 '$ bdd->報價' 未找到或無效的功能名稱
希望你正確轉義這些字段/列或我使用的stripslashes報價 – 2012-08-17 03:28:31
stripslashes是sql注入的溼廁紙。它沒有什麼保護你。假裝函數不存在並使用PROPER查詢構造方法。您正在使用PDO - 使用佔位符和準備好的查詢。 – 2012-08-17 03:30:37
之前,你還是會被注入自己,PDO或沒有PDO ... – 2012-08-17 03:31:38