drupal ड्रुपल एसक्यूएल इंजेक्शन फॉर्मों में रोकथाम और एपॉस्ट्रॉफी हैंडलिंग पर हमला करता है



drupal-6 drupal-fapi (1)

{} के साथ अपनी तालिका लपेटें

साथ ही, सम्मिलन के लिए उचित प्लेसहोल्डर सिंटैक्स का प्रयोग करें, जैसे संख्याओं के लिए% d, तार के लिए% s

यहां फ़ंक्शन एपीआई पृष्ठ है:

http://api.drupal.org/api/function/db_query/6

ध्यान दें कि इसमें तर्क है

उदाहरण:

db_query('INSERT INTO {tablename} (field1, field2) VALUES ("%s", "%s")', $field1, $field2);

सामान्य पीएचपी अनुप्रयोगों में मैं एसक्यूएल सम्मिलित किए जाने से पहले mysql_real_escape_string का इस्तेमाल करता था I हालांकि मैं ड्रुपल में ऐसा करने में असमर्थ हूं इसलिए कुछ सहायता की आवश्यकता होगी। और बिना किसी प्रकार के फ़ंक्शन जैसे, एपॉस्ट्रॉप्स के साथ उपयोगकर्ता इनपुट मेरे कोड को तोड़ रहा है

कृपया सुझाव दे।

धन्यवाद

मेरा एसक्यूएल निम्नानुसार है:

$ sql = "some_table (फ़ील्ड 1, फ़ील्ड 2) मूल्यों में शामिल करें ('$ field1', '$ field2')";

db_query ($ एसक्यूएल);