插入到自定义表格时，我仍然应该转义数据吗？

我发现一个similar question，但它并没有真正给我我正在寻找的答案。 This tutorial解释了WordPress使用的最重要的卫生功能。插入到自定义表格时，我仍然应该转义数据吗？

我正在使用PDO将表单数据存储到自定义表中。很多这些数据包含名称，如l'this和Cotélac & Blancé。

如果我把电子邮件和url字段放在一边，是否足以使用esc_attr和esc_html来激发SQL注入和跨站点脚本？

我应该在数据保存到数据库之前使用它吗？或者在我将它放到屏幕前？

//From Wordpress 
esc_html -> Escaping for HTML blocks 
esc_attr -> Encodes the <, >, &, " and '

这是我用一个典型的查询：

$sql = " SELECT name 
     FROM name 
     WHERE user_name = :user_name 
     AND fk_ID = :some_id "; 

$stmt = $this->db->prepare($sql); 
$stmt->bindParam(':user_name', $name, PDO::PARAM_STR); 
$stmt->bindParam(':some_id', $some_id, PDO::PARAM_STR); 
$stmt->execute(); 

$result = $stmt->fetchAll(); 
return $result; 

// alternative (from another query) 
$stmt = $this->db->prepare($sql); 
$stmt->execute(array(':id'=> $id)); 
$result = $stmt->fetchAll(PDO::FETCH_ASSOC); 

return $result;

来源

2013-03-27 Steven

取决于*如何*您在使用PDO – 2013-03-27 14:04:10

@YourCommonSense我已经更新了查询例如 – Steven 2013-03-27 14:10:59

问题，你可能想读这样的：HTTP：//计算器.com/questions/134099/are-pdo-prepared-statements-sufficient-to-prevent-sql-injection – 2013-03-27 14:14:14

既然你已经标记wordpress，我想补充一点没有处理所有这些的$wpdb class。您可以使用$wpdb->prepare来帮助您。

从食品的例子：

$wpdb->query($wpdb->prepare( 
    " 
     INSERT INTO $wpdb->postmeta 
     (post_id, meta_key, meta_value) 
     VALUES (%d, %s, %s) 
    ", 
     10, 
    $metakey, 
    $metavalue 
));

来源

2013-03-27 14:11:44 RRikesh

是的，我知道。不幸的是，我在开始这2年后想到了这一点（并且我多了解WP）。所以现在有几千行SQL查询。另一方面，如果需要/时间到，不使用'$ wpdb'可以让我更容易地通过不同的系统移植代码。即使我使用'$ wpdb'，我仍然应该转义一些数据？ – Steven 2013-03-27 14:15:41

如果您使用'$ wpdb'，'prepare'方法将为您做必要的工作。如果有疑问，你可以硬编码一些值并尝试将它添加到你的wordpress数据库中，只是为了看到$ wpdb类的工作方式如何。 – RRikesh 2013-03-27 14:18:10

好的。但是让我们假设我目前还没有计划使用'$ wpdb'，那么您如何解决上述问题？ – Steven 2013-03-27 14:22:14

插入到自定义表格时，我仍然应该转义数据吗？

回答

相关问题