Codeigniter this-> db->查詢

Question

$ this-db-> query（）是否具有mysql注入保護功能？我想知道，因爲我在實例中使用它，並沒有做任何事情來防止SQL注入。

Answer 1

使用CodeIgniter查詢的ActiveRecord樣式會轉義參數，但不會查詢（）。

您可以使用這種方式的活動記錄：

$someAge = 25; 
$this->db->select('names, age'); 
$query = $this->db->get_where('people', array('age' => '>' . $someAge)); 

瞭解更多關於在這裏：​​http://ellislab.com/codeigniter/user-guide/database/active_record.html

Answer 2

沒有，DB->查詢（）是不是默認保護的SQL注入攻擊，你有幾個選項。 使用查詢綁定

$sql = "SELECT * FROM some_table WHERE id = ? AND status = ? AND author = ?"; 
$this->db->query($sql, array(3, 'live', 'Rick')); 

對於更復雜的奎雷斯，你必須構建查詢，當您去，請使用compile_bind（）得到的SQL塊。

$sql = "SELECT * FROM some_table WHERE id = ? AND status = ? AND author = ?"; 
$safe_sql = $this->db->compile_bind($sql, array(3, 'live', 'Rick')); 

等

或使用逃脫$這個 - > DB->逃生（）的參數

$sql = "INSERT INTO table (title) VALUES(".$this->db->escape($title).")"; 

它總是首先使用表單驗證，包括像xss_clear東西的最佳實踐， max_length等方式結合上述之一。