#1 子非鱼
在手册中,有这样一段话数组形式将被自动过滤 $rows = array( 'name' => "'jake'", 'contents' => "大家好 AND 1=1", ); $result = spClass('guestbook')->findAll($rows); echo spClass('guestbook')->dumpSql();输出:SELECT * FROM guestbook WHERE name = ''jake'' AND contents = '大家好 AND 1=1'
从上面代码可以看到findAll会自动将$rows数组内容,过滤成SQL语句可以接受的字符串。
一般而言,安全过滤是在SpeedPHP框架中默认存在的,所以只在以下情况下,需要手动来过滤:
- 存在提交参数来需要进行数据库查找或插入、更新、删除数据。
- 只能用数组形式的条件。
我想问下,红色这里,是不是矛盾了,我不能理解,这段话是说,数组形式是会自动过滤,还是手动过滤?
2013-03-18 12:06:28