mysql_real_escape_stringが適用されません

Question

私は、カメラの詳細についていくつかのフィールドを取るフォームを持っています。これは私がJoomlaで作成しているカスタムページです。まず私は、データベース・オブジェクトを取得：

$db = &JFactory::getDBO(); 

プロセスフォームに入力されたカメラの名前をしてDBに追加します。

$add_name = $_POST['camera_name']; 
$query_insert_camera = "INSERT INTO #__cameras (camera_name, ... , user_id) VALUES ('".mysql_real_escape_string($add_name)."', ... ,'".$user->id."')"; 
$db->setQuery($query_insert_camera); 
$db->query(); 

私はちょうどカメラ名に空の文字列を取得します。私がmysql_real_escape_stringを取ってもうまくいく。私はmysql_real_escape_stringが私は接続を確立している方法が好きではないと推測している...私は思います。

アイデア？

Answer 1

あなたはJRequestに見てみたいことがあります:: getVar http://docs.joomla.org/Retrieving_and_Filtering_GET_and_POST_requests_with_JRequest::getVar

しかし、モジュール内で使用できることは表示されません。http://groups.google.com/group/joomla-dev-general/browse_thread/thread/15ebde03b858c9e8

Answer 2

あなたのコードは動作するはずです。私はmysql_real_escape_string（）がとほぼ同じと同じ方法で使用されているのを見るhere。

そのコードの違い、そして何を持っているが、マイナーですが、多分その代わり、このような何かを試してみてください。

$db = &JFactory::getDBO(); 

// Escape the POST var as you grab it 
$add_name = mysql_real_escape_string(JRequest::getVar('camera_name', '', 'post', 'string')); 

$query_insert_camera = "INSERT INTO #__cameras (camera_name) VALUES ('" . $add_name . "')"; 
$db->setQuery($query_insert_camera); 
$db->query(); 

Answer 3

私は、Joomlaの内のMySQL（I）_real_escape_string（）を使用しての問題に出くわしましたdb接続を最初のパラメータとして渡す必要があることがわかりました。

$db = JFactory::getDbo(); 
$myVar = JRequest::getVar('myVarName'); 
$mysqlSafeVar = msqli_real_escape_string($db->getConnection(), $myVar); 
$sql = 'INSERT INTO #__mytable (' .$db->nameQuote('myField'). ') VALUES (' . $db->quote($mysqlSafeVar) . ')'; 
$success = $db->execute();