如何在JOOMLA 2.5中的数据库中插入数据时转义引号

时间:2012-10-05 14:15:15

标签: php mysql joomla joomla2.5

我正在尝试在数据库(mysql)中插入数据但在我尝试使用单引号或双引号添加数据时不成功。否则工作正常(不带引号)。我知道在这种情况下我们必须使用mysql_real_escape_string。但我使用的是joomla框架,这个函数不起作用。

我的代码如下:

function insert($table, $array) {
$db = JFactory::getDBO();
 $query = "INSERT INTO ".$table;
  $fis = array();
  $vas = array();
  foreach($array as $field=>$val) {

 if(is_array($val)){
 $x= implode(",",$val);
 }
 else
 {
 $x=$val;
 }

   $fis[] = "`$field`";//you must verify keys of array outside of function;
                         //unknown keys will cause mysql errors;
                         //there is also sql injection risc;
    $vas[] = "'".$x."'";
  }
$query .= " (".implode(", ", $fis).") VALUES (".implode(", ", $vas).")";
$db->setQuery($query);
$db->query();
}
insert('#__storage_companies',JRequest::get( 'post' ));

请告诉我如何摆脱这个。

2 个答案:

答案 0 :(得分:5)

JDatabaseDriver::quote。像$db->quote($value)一样使用。 另外要引用字段名称,请使用$db->quoteName($value)

看看Joomla wiki的Preparing the query

你的代码应该是:

$fis[] = $db->nameQuote($field);
$vas[] = $db->quote($x);

答案 1 :(得分:-1)

你能不能自己逃避引号?

只是做:

$val = str_replace(array("'", '"'), array("\\'", '\\"'), $val);
相关问题
最新问题