custom - Inyección Drupal SQL ataca la prevención y el manejo de apóstrofes en Formularios
element drupal 8 (1)
Envuelve tu mesa con {}.
Además, use la sintaxis de marcador de posición adecuada para la inserción, como% d para números,% s para cadenas.
Aquí está la página de la API de función:
http://api.drupal.org/api/function/db_query/6
Tenga en cuenta que tiene argumentos.
Ejemplo:
db_query(''INSERT INTO {tablename} (field1, field2) VALUES ("%s", "%s")'', $field1, $field2);
en aplicaciones típicas de PHP solía usar mysql_real_escape_string antes de hacer inserciones SQL. Sin embargo, no puedo hacer eso en Drupal, así que necesitaré ayuda. Y sin ningún tipo de función como esa, la entrada del usuario con apóstrofes está rompiendo mi código.
Por favor recomiende.
Gracias
Mi SQL es el siguiente:
$ sql = "INSERT INTO some_table (field1, field2) VALUES (''$ campo1'', ''$ campo2'')";
db_query ($ sql);