私はSQL wpdb->prepareが初めてで、作成したテーブルへの次のクエリに使用する必要があるかどうか疑問に思っています
global $wpdb;
$tablename = $wpdb->prefix . "my_custom_table";
$sql = "SELECT * FROM " . $tablename . " ORDER BY date_created DESC";
$resulst = $wpdb->get_results( $sql , ARRAY_A );prepareここで使用する必要がありますか?どうすればいいですか?
乾杯
回答:
常に使用することをお勧めしますprepareが、主な用途はSQLインジェクション攻撃を防ぐことです。ユーザー/訪問者からの入力がないか、クエリに影響を与えないため、現在の例では問題になりません。
しかし、前に言ったように、それを使用するのがベストプラクティスであり、一度使用を開始したら停止することはないので、例では次のように使用できます。
global $wpdb;
$tablename = $wpdb->prefix . "my_custom_table";
$sql = $wpdb->prepare( "SELECT * FROM %s ORDER BY date_created DESC",$tablename );
$results = $wpdb->get_results( $sql , ARRAY_A );それを使用する方法についての詳細を読むには、コーデックスに向かいます
$tablename = $wpdb->prefix . "my_custom_table"; $concert_id = 1; $sql = "SELECT * FROM " . $tablename . " WHERE concert_id = %d LIMIT 1;"; $prep_sql = $wpdb->prepare( $sql, $concert_id ); $get_concerts = $wpdb->get_results( $prep_sql , ARRAY_A ); そしてそれはうまくいきます!なぜそうなるのか分かりません。しかし、私はいずれにせよ今すぐそれを手に入れます!
SELECT * FROM `wp_my_custom_table`。二重引用符のサポートを有効にできますが、次のようになりますSELECT * FROM "wp_my_custom_table"。
あなたの場合、SQLインジェクション攻撃は不可能です。post、get、request、cookieなどのユーザー入力を使用しないため、コードに追加の保護は必要ありません。
サーバーリソースを節約する必要がない場合は、複雑な機能を使用しないでください。