pdo::quote-尊龙凯时平台在线地址
pdo::quote
(php 5 >= 5.1.0, php 7, php 8, pecl pdo >= 0.2.1)
pdo::quote — 为 sql 查询里的字符串添加引号
说明
public pdo::quote(string $string
, int $parameter_type
= pdo::param_str): string
pdo::quote() 为输入的字符串添加引号(如果有需要),并对特殊字符进行转义,且引号的风格和底层驱动适配。
如果使用此函数构建 sql 语句,强烈建议使用 pdo::prepare() 配合参数构建,而不是用 pdo::quote() 把用户输入的数据拼接进 sql 语句。 使用 prepare 语句处理参数,不仅仅可移植性更好,而且更方便、免疫 sql 注入;相对于拼接 sql 更快,客户端和服务器都能缓存编译后的 sql 查询。
不是所有的 pdo 驱动都实现了此功能(例如 pdo_odbc)。 考虑使用 prepare 代替。
caution
安全性:默认字符集
字符集不仅仅要在数据库服务器上设置,也要为数据库连接设置(取决于驱动),它影响了 pdo::quote()。 更多信息可参考pdo 驱动文档。
参数
string
要添加引号的字符串。
parameter_type
为驱动提示数据类型,以便选择引号风格。
返回值
返回加引号的字符串,理论上可以安全用于 sql 语句。 如果驱动不支持这种方式,将返回 false
。