Truy vấn SQL thoát + codeigniter

Question

Tôi đang sử dụng trình viết mã và phần lớn thời gian sử dụng bản ghi hoạt động cho truy vấn của tôi (tự động thoát chúng), nhưng truy vấn này dường như không phù hợp với nó do biến. Vì vậy, tôi cần phải tìm ra cách để thoát khỏi truy vấn theo cách thủ công.

docs CodeIgniter đề nghị thoát các truy vấn theo cách này:

$sql = "INSERT INTO table (title) VALUES(".$this->db->escape($title).")"; 

truy vấn ban đầu của tôi

$sql = "SELECT * FROM (`user_language`) WHERE `user_id` = '{$id}'"; 

My trốn truy vấn

$sql = "SELECT * FROM (`user_language`) WHERE `user_id` = '{$id}' VALUES(".$this->db->escape($user_language).")"; 

Nhưng tôi đang gặp rắc rối getti ng cú pháp đúng. Thông báo lỗi là: thông báo lỗi

• PHP: Không xác định biến: USER_LANGUAGE
• SQL lỗi: cú pháp sai ... gần 'GIÁ TRỊ (NULL)' tại dòng 1

Answer 1

$sql = "SELECT * FROM `user_language` WHERE `user_id` = " . $this->db->escape($id); 

nếu bạn muốn chọn ngôn ngữ của người dùng được cung cấp bởi $ id, nó sẽ hoạt động theo cách đó.

đối phó với những con số một thay thế sẽ là:

$sql = "SELECT * FROM `user_language` WHERE `user_id` = " . (int)$id; 

CodeIgniter không còn hỗ trợ chuẩn bị phát biểu như "cam kết ràng buộc truy vấn":

The secondary benefit of using binds is that the values are automatically escaped, producing safer queries. You don't have to remember to manually escape data; the engine does it automatically for you.

Answer 2

Tôi đang bối rối tại sao bạn nói rằng bạn không thể sử dụng Active Record class với CI, đây là một cuộc gọi SQL đơn giản (ví dụ dưới đây sử dụng method chaining):

$this->db->select('*')->from('user_language')->where('user_id', $id); 
$query = $this->db->get(); 

Sau đó, $id của bạn sẽ được thoát đúng cách và bạn sẽ giảm thiểu bất kỳ sự tiêm chích nào. Cá nhân tôi sử dụng AR bất cứ khi nào có thể, nó cho phép tôi viết mã hiệu quả nhanh và không phải lo lắng về những điều xấu với cuộc gọi SQL (truy vấn tùy chỉnh).