db_insertは安全ですか?
Drupal 7のメソッドdb_insertを使用して、Drupalデータベースのカスタムテーブルにデータを挿入しています。私はこれが好ましい方法であることを読みましたが、コードとdocoを調べたところ、値を解析する場所や、これらの値が安全であることを教えてくれる場所がどこにもありません。 一部の値はユーザーから取得されるため、SQLインジェクション攻撃をチェックする必要があります。 これは私が読んでいた例で、Drupal 6は値を解析しますが、Drupal 7バージョンは解析しません。 <?php // Drupal 6 version db_query('INSERT INTO {vchess_games} (gid, timestamps, white, black, state, board_white, board_black) ' . "VALUES ('%s', '%s', '%s', '%s', '%s', '%s', '%s')", $gid, $timestamps, $game['white'], $game['black'], $state, $board_white, $board_black); // Drupal 7 version db_insert('vchess_games') ->fields(array( 'gid' => $gid, 'timestamps' => $timestamps, …