Datenbank Eintrag real_escape_string

[Nacht69]

Guten Tag,

ich versuche gerade zu verhindern, dass eine "Insert into" mysql anweisung bei eventueller übergabe von " bzw ' in texten abbricht.

Code:

$SaveValues = "'".implode("', '", $SaveArr)."'"; 
$SaveKeys = implode(', ', array_keys($SaveArr)); 

$this->import("Database");
$sql = "INSERT INTO tl_bb_orders (".$SaveKeys.") VALUES (".$SaveValues.")";
				$dbQuery = Database::getInstance()->prepare($sql);
				$dbResult = $dbQuery->execute();

Gibt es hier eine möglichkeit, dies automatisch zu umgehen? Habe mysqli::real_escape_string() gefunden, hab es jedoch nicht fertig gebracht dies zum laufen zu bringen.

Danke schonmal.

[Nacht69]

Ah habs gefunden:

PHP-Code:

$set = array('tstamp' => time(), 'source' => 'BE', 'action' => 'GENERAL');
$objInsert = $this->Database->prepare("INSERT INTO tl_log %s")->set($set)->execute();
echo $objInsert->insertId; 


https://de.contaowiki.org/Datenbank_Klasse_verwenden

[Spooky]

https://docs.contao.org/dev/referenc...ase-connection