27 февраля 2018 в 13:10
Здравствуйте, друзья. Нужно ли использовать mysql_real_escape_string при сохранении данных через db_insert() или друпал сам об этом позаботиться?
Нужно ли использовать mysql_real_escape_string при сохранении через db_insert
Главные вкладки
27 февраля 2018 в 13:10
Лучший ответ
27 февраля 2018 в 13:56
1
В общем случае - не надо париться.
Подробно про SQL-инъекции и защиту от них: https://paragonie.com/blog/2015/05/preventing-sql-injection-in-php-appli...
Вкратце - у Drupal под капотом PDO и prepared statements, и до тех пор, пока вы в db_query не запихнёте собственоручно сгенерированную строку запроса, волноваться не о чем. Если есть о чём - волноваться будут все. 
Комментарии
mysql_real_escape_string - вообще использовать не нужно, уже с пяток лет
В общем случае - не надо париться.
Подробно про SQL-инъекции и защиту от них: https://paragonie.com/blog/2015/05/preventing-sql-injection-in-php-appli...
Вкратце - у Drupal под капотом PDO и prepared statements, и до тех пор, пока вы в db_query не запихнёте собственоручно сгенерированную строку запроса, волноваться не о чем. Если есть о чём - волноваться будут все.
Понял, спасибо за ответы