Текст скорее всего. Он же не эскейпит переменные
Понял, это синтаксис mysql, но тогда где он эскейпит, что-то я не вижу
$field = $this->request->post['additional_field']; $field = mysql_real_escape_string($field); $this->model_extension_module_option_tools->editMessage($this->request->get['option_id'], $field);
Версия пхп какая?
там нет такой функции mysql_real_escape_string
А какой аналог?
Альтернативы для данной функции: mysqli_real_escape_string() PDO::quote()
Обсуждают сегодня