我打算从作为POST参数的数据库中获取一列,所以我开始编写代码:
$db->select()->from('table', array('field' => $PARAM))->query()->fetchAll();
然后我开始怀疑将$PARAM传递给查询是否安全?我搜索了一些网站和文档,但没有找到明确的答案
所以我做了一些实验,给出$PARAM不同的值并观察输出查询。我注意到的是'字符前面是另一个'字符,但\或\ n等保持不变
我的问题是:它安全吗?仅仅逃脱`字符就足够了吗? Manual说,其他角色也应该被转义。