Escape без использования escape-строки mysql

Question

Как избежать вставки данных в таблицу MySQL без использования escape-строки SQL для защиты от внедрения SQL?

Я использую Yii Framework, который использует PDO и не поддерживает множественные запросы. Мне нужно выполнить несколько запросов на вставку и нужно экранировать вставляемые значения.

Yii::app()->quoteValue не работает, потому что помещает кавычки "" вокруг ввода, вставляемого в mysql. Можно ли использовать функцию PHP для защиты от SQL-инъекций?

Answer 1

Вы можете добавить косую черту с помощью

$string = addslashes($string);

Однако рекомендуется вместо этого попробовать использовать правильные методы mysql, чтобы я не рассчитывал на то, что это идеальная замена.