Wordpress: wpdb->插入与wpdb->准备(wpdb->查询(“插入

Question

我想知道wordpress的插入函数是否也会在数据中添加斜杠。如果不是这样，那么prepare query方法将更好地防止SQL注入。我试着在那里的codex/api中查找这个问题；但是，它似乎没有文档。谢谢!

Answer 1

Wordpress使用ezSQL来查询数据库。从技术上讲，它不是抽象层，但它确实去掉了一些样板代码。Wordpress有一个函数escape，所以我假设Wordpress总是在执行查询之前调用转义函数。但要确定这一点，你必须看一下源代码。

这就是在Wordpress中转义字符串的方法：

$safe_string = $wpdb->escape($unsafe_string);

Answer 2

这个问题有点老了，而且自提出以来，食典可能已经更新了。对于输入数据的wpdb->insert()转义，wpdb->prepare()和SQL都提供了相同级别的安全性。

提供给insert方法的列和数据值都应为raw而不是codex states转义的SQL。

我还快速查看了一下消息来源以确认。insert方法的实现使用wpdb->prepare()。