escape DBAPI

string escape(string $s)

$s - строка для обработки

При работе этой используется стандартная функция mysql_real_escape_string, а при ее отсутствии mysql_escape_string.

Рекомендуется всегда использовать этот метод для данных, перед тем как делать запрос в базу. Это позволит защитить базу от SQL-инъекций.

Пример

function login($username, $password) { 
	global $modx, $table_prefix; 

	$username = $modx->db->escape($username); 
	$password = $modx->db->escape($password); 

	$res = $modx->db->select("id", $table_prefix.".modx_web_users", "username='$username' AND password='".md5($password)."'"); 

	if($modx->db->getRecordCount($res)) { 
		$_SESSION['userid'] = $id; 

		// прочие действия... 
	} else { 
		// подходящей записи не нашлось 
	} 
}

Источник Функции

Файл: manager/includes/extenders/dbapi.mysql.class.inc.php

Строка: 117

function escape($s) {
	if (function_exists('mysql_real_escape_string') && $this->conn) {
		$s = mysql_real_escape_string($s, $this->conn);
	} else {
		$s = mysql_escape_string($s);
	}
	return $s;
}