我正在使用OSCommerce與MySQL的項目,我很困惑,因爲我應該使用tep_db_input()或tep_db_prepare_input()。我假設我應該使用tep_db_input()圍繞正在插入/更新的任何字符串,但是何時應該使用其他函數?OSCommerce tep_db_input vs tep_db_prepare_input
例如,如果我是從數據庫中選擇一些數據,並根據結果再INSERT一行到另一張表,我需要在某一時刻準備輸入?或者只是再次使用tep_db_input?
$width = '3"'; // 3 inches
$new_height = '3\' 5"'; // 3 feet 5 inches
$result = tep_db_query(
"SELECT height
FROM measurements
WHERE width = '".tep_db_input($width)."'"
);
while ($row = tep_db_fetch_array($result)) {
tep_db_query(
"INSERT INTO measurement_history (
field,
old_value,
new_value
) VALUES (
'height',
'".tep_db_input($row['height'])."',
'".tep_db_input($new_height)."'
)"
);
}
這是正確的嗎?
編輯::如果有些人不熟悉這些功能,這裏是他們的定義:
function tep_sanitize_string($string) {
$patterns = array ('/ +/','/[<>]/');
$replace = array (' ', '_');
return preg_replace($patterns, $replace, trim($string));
}
function tep_db_input($string, $link = 'db_link') {
global $$link;
if (function_exists('mysql_real_escape_string')) {
return mysql_real_escape_string($string, $$link);
} elseif (function_exists('mysql_escape_string')) {
return mysql_escape_string($string);
}
return addslashes($string);
}
function tep_db_prepare_input($string) {
if (is_string($string)) {
return trim(tep_sanitize_string(stripslashes($string)));
} elseif (is_array($string)) {
reset($string);
while (list($key, $value) = each($string)) {
$string[$key] = tep_db_prepare_input($value);
}
return $string;
} else {
return $string;
}
}