query di escape SQL + codeigniter

Question

Uso il codeigniter e la maggior parte delle volte utilizzo il record attivo per le mie query (che le evapora automaticamente), ma questa query non sembra adattarsi perfettamente a causa della variabile. Quindi ho bisogno di capire come sfuggire alla query manualmente.

CodeIgniter documenti suggeriscono di sfuggire le query in questo modo:

$sql = "INSERT INTO table (title) VALUES(".$this->db->escape($title).")"; 

mio query originale

$sql = "SELECT * FROM (`user_language`) WHERE `user_id` = '{$id}'"; 

mio sfuggito interrogazione

$sql = "SELECT * FROM (`user_language`) WHERE `user_id` = '{$id}' VALUES(".$this->db->escape($user_language).")"; 

ma sto avendo problemi Getti ng la sintassi giusta. I messaggi di errore sono: messaggio di errore

• PHP: Variabile non definita: USER_LANGUAGE
• SQL errore: sintassi sbagliato ... vicino 'VALORI (NULL)' at line 1

Answer 1

$sql = "SELECT * FROM `user_language` WHERE `user_id` = " . $this->db->escape($id); 

se vuoi selezionare la lingua dell'utente dato da $ id dovrebbe funzionare in questo modo.

che fare con i numeri di un'alternativa sarebbe:

$sql = "SELECT * FROM `user_language` WHERE `user_id` = " . (int)$id; 

CodeIgniter supporta anche le istruzioni preparate come "binding query":

The secondary benefit of using binds is that the values are automatically escaped, producing safer queries. You don't have to remember to manually escape data; the engine does it automatically for you.

Answer 2

Sono confuso perché dici non è possibile utilizzare la Classe di registrazione attiva con CI, questa è una semplice chiamata SQL (nell'esempio seguente viene utilizzato method chaining):

$this->db->select('*')->from('user_language')->where('user_id', $id); 
$query = $this->db->get(); 

Il tuo $id viene quindi escappato correttamente e si riduce ogni iniezione. Personalmente utilizzo AR quando possibile, mi consente di scrivere codice rapido ed efficiente e non mi preoccupo delle cose brutte con le chiamate SQL (query personalizzate).