從我瞭解使用什麼$逃離這個 - > DB->插入()轉義值:笨使用Active Record類的SQL注入
http://codeigniter.com/user_guide/database/active_record.html#insert
Note: All values are escaped automatically producing safer queries.
但是當我看到MySQL,我的投入沒有逃脫,是由於某種原因刪除了一些如何?
擔心sql注入在這裏,這就是爲什麼我問。
呀mysql_real_escape_string並用htmlspecialchars逸出值,並將它們插入到數據庫(\\)。但我想知道如果codeigniter確實轉義它,但不顯示它在數據庫中。 – busycoding
如果出現這種情況,您必須運行一個比5.3版本更早的PHP版本,並且在調用** mysql_real_escape_string **之前啓用了** magic_quotes_gpc **,它可能被CodeIgniter考慮並通過** stripslashes **。 –
我很好奇,看着CodeIgniter。事實證明,我的猜測是正確的。現在編輯帖子。 –