sql里面带变量 这样写

#1 okbb

$sql = "INSERT INTO *** VALUES('{$this->spArgs('name')}')

2010-08-10 15:14:43

#2 jake

为了保证数据库安全性,建议加上过滤

$name = spClass('lib_guestbook')->escape($this->spArgs('name'), TRUE);
// 如果是sp2,要使用__val_escape
// 最新版的sp加入了escape替代__val_escape
然后再
$sql = "INSERT INTO *** VALUES({$name})// 由于escape,第二个参数true已经带上单引号,所以$name不需要带单引号

2010-08-10 15:48:02