PDO::quote
(no version information, might be only in CVS)
PDO::quote --
Quotes a string for use in a query.
Descrição
string
PDO::quote ( string string [, int parameter_type] )
Atenção |
Esta função é
EXPERIMENTAL. Isso quer dizer que o comportamento desta função
e seu nome, incluindo TUDO o que está documentado aqui
pode mudar em futuras versões do PHP, SEM QUALQUER NOTIFICAÇÃO.
Esteja avisado, e use esta função por sua própria conta e risco. |
PDO::quote() places quotes around the input
string and escapes and single quotes within the input string.
Quoting input strings has been a common means of attempting to
prevent SQL injection attacks; however, an even safer approach
is to use prepared statements with named parameters or placeholders
for the input values.
Not all PDO drivers implement this method.
Lista de parâmetros
- string
The string to be quoted.
- parameter_type
Provides a data type hint for drivers that have alternate quoting styles.
The default value is PDO_PARAM_STR.
Valores Retornados
Returns a quoted string that is theoretically safe to pass into an
SQL statement.
Exemplos
Exemplo 1. Quoting a normal string
<?php $conn = new PDO('sqlite:/home/lynn/music.sql3');
/* Simple string */ $string = 'Nice'; print "Unquoted string: $string\n"; print "Quoted string: " . $conn->quote($string) . "\n"; ?>
|
O exemplo acima irá imprimir: Unquoted string: Nice
Quoted string: 'Nice' |
|
Exemplo 2. Quoting a dangerous string
<?php $conn = new PDO('sqlite:/home/lynn/music.sql3');
/* Dangerous string */ $string = 'Naughty \' string'; print "Unquoted string: $string\n"; print "Quoted string:" . $conn->quote($string) . "\n"; ?>
|
O exemplo acima irá imprimir: Unquoted string: Naughty ' string
Quoted string: 'Naughty '' string' |
|
Exemplo 3. Quoting a complex string
<?php $conn = new PDO('sqlite:/home/lynn/music.sql3');
/* Complex string */ $string = "Co'mpl''ex \"st'\"ring"; print "Unquoted string: $string\n"; print "Quoted string: " . $conn->quote($string) . "\n"; ?>
|
O exemplo acima irá imprimir: Unquoted string: Co'mpl''ex "st'"ring
Quoted string: 'Co''mpl''''ex "st''"ring' |
|
Veja também
PDO::prepare() |
PDOStatement::execute() |