例：

$_fields = array('field1'=>'value1','field2'=>'value2','field3'=>'value3');

X-

INSERT INTO table (field1,field2,field3) VALUES ('value1','value2','value3');

我已经想出了以下PHP一行：

MysqL_query("INSERT INTO table (".implode(',',array_keys($_fields)).") VALUES (".implode(',array_values($_fields)).")");

它分离关联数组和implodes的键和值,以生成逗号分隔的字符串.问题是它不会转义或引用插入数据库的值.为了说明危险,想象一下,如果$_fields包含以下内容：

$_fields = array('field1'=>"naustyvalue); drop table members; --");

将生成以下sql：

INSERT INTO table (field1) VALUES (naustyvalue); drop table members; --;

幸运的是,multiple queries are not supported,尽管引用和转义是防止sql注入漏洞的关键.

你如何编写PHP MysqL插件？

注意：PDO或MysqLi准备的查询目前不是我的选择,因为代码库已经广泛使用了MysqL – 一个改变是计划的,但是需要大量的资源来转换？