#1 okbb
$sql = "INSERT INTO *** VALUES('{$this->spArgs('name')}') 2010-08-10 15:14:43
SpeedPHP Framework
sql里面带变量 这样写
#2 jake
为了保证数据库安全性,建议加上过滤$name = spClass('lib_guestbook')->escape($this->spArgs('name'), TRUE);
// 如果是sp2,要使用__val_escape
// 最新版的sp加入了escape替代__val_escape
然后再
$sql = "INSERT INTO *** VALUES({$name})// 由于escape,第二个参数true已经带上单引号,所以$name不需要带单引号
2010-08-10 15:48:02