db_insert安全吗?
我正在使用Drupal 7方法db_insert,将数据插入Drupal数据库的自定义表中。我读过,这是首选的方法,但是我遍历了代码和doco,并且看不到任何解析值的地方,或者告诉我这些值是安全的。 一些值来自用户,因此我需要检查SQL注入攻击。 这是我正在阅读的示例,其中Drupal 6解析值,而Drupal 7版本不解析值。 <?php // Drupal 6 version db_query('INSERT INTO {vchess_games} (gid, timestamps, white, black, state, board_white, board_black) ' . "VALUES ('%s', '%s', '%s', '%s', '%s', '%s', '%s')", $gid, $timestamps, $game['white'], $game['black'], $state, $board_white, $board_black); // Drupal 7 version db_insert('vchess_games') ->fields(array( 'gid' => $gid, 'timestamps' => $timestamps, …