我正在努力创建一个在joomla数据库中调用字段的函数。 这是防止sql注入的一个很好的用法吗?
// Get std objects
if (strlen($urlparams)<5) {
$db = JFactory::getDbo();
$query = $db->getQuery(true);
$query->select('params');
$query->from($db->quoteName('#__template_styles'));
$query->where($db->quoteName('id')." = ".$db->quote($urlparams));
$db->setQuery($query);
$row = $db->loadResult();
}
else {
echo 'Something is going worng.';
}
谢谢你,并致以最诚挚的问候。
答案 0 :(得分:4)
当前的方法非常精细,因为它使用了最新的Joomla编码标准。
我唯一要做的就是在quoteName()
子句中使用select
来表示用于转义字段名称。所以你最终会得到以下结论:
$query->select($db->quoteName('params'));
如果你有任何疑问,请看看Joomla的: