Нужно ли использовать mysql_real_escape_string при сохранении через db_insert

Аватар пользователя radhab20 radhab20 27 февраля 2018 в 13:10

Здравствуйте, друзья. Нужно ли использовать mysql_real_escape_string при сохранении данных через db_insert() или друпал сам об этом позаботиться?

0 Thanks

Лучший ответ

Аватар пользователя fairrandir fairrandir 27 февраля 2018 в 13:56
1

В общем случае - не надо париться.
Подробно про SQL-инъекции и защиту от них: https://paragonie.com/blog/2015/05/preventing-sql-injection-in-php-appli...

Вкратце - у Drupal под капотом PDO и prepared statements, и до тех пор, пока вы в db_query не запихнёте собственоручно сгенерированную строку запроса, волноваться не о чем. Если есть о чём - волноваться будут все. =)

Комментарии

Аватар пользователя fairrandir fairrandir 27 февраля 2018 в 13:56
1

В общем случае - не надо париться.
Подробно про SQL-инъекции и защиту от них: https://paragonie.com/blog/2015/05/preventing-sql-injection-in-php-appli...

Вкратце - у Drupal под капотом PDO и prepared statements, и до тех пор, пока вы в db_query не запихнёте собственоручно сгенерированную строку запроса, волноваться не о чем. Если есть о чём - волноваться будут все. =)