Я использую Drupal 7 метод db_insert , чтобы вставить данные в пользовательскую таблицу в базе данных Drupal. Я читал, что это предпочтительный способ, однако я прошелся по коду и документу и не вижу нигде, который анализирует значения или говорит мне, что эти значения безопасны.
Некоторые значения поступают от пользователя, поэтому мне нужно проверять наличие атак SQL-инъекций.
Это пример, который я читал, где Drupal 6 анализирует значения, а версия drupal 7 - нет.
<?php
// Drupal 6 version
db_query('INSERT INTO {vchess_games}
(gid, timestamps, white, black, state, board_white, board_black) ' . "VALUES ('%s', '%s', '%s', '%s', '%s', '%s', '%s')",
$gid, $timestamps, $game['white'], $game['black'], $state, $board_white, $board_black);
// Drupal 7 version
db_insert('vchess_games')
->fields(array(
'gid' => $gid,
'timestamps' => $timestamps,
'white' => $game['white'],
'black' => $game['black'],
'state' => $state,
'board_white' => $board_white,
'board_black' => $board_black
))
->execute();
?>