【发布时间】:2017-06-02 08:25:11
【问题描述】:
假设我有一个在帖子中生成以下内容的表单:
$title = sanitize_text_field($_POST['title']);
$text = esc_textarea($_POST['$text']);
然后我使用准备语句在数据库中插入值,但我有一个问题。我有这一行将值发送到数据库:
$wpdb->prepare("INSERT INTO $table_emails VALUES('', %s, %s)", $title, $text);
可以说这样可以防止人们插入SELECT * FROM table_name之类的内容吗?
【问题讨论】:
标签: php mysql wordpress prepared-statement