WordPress.org

Make WordPress Core


Ignore:
Timestamp:
03/01/2013 05:01:01 PM (5 years ago)
Author:
ryan
Message:

Use prepare instead of escape.

see #21767

File:
1 edited

Legend:

Unmodified
Added
Removed
  • trunk/wp-admin/includes/schema.php

    r23554 r23564  
    506506            $autoload = 'yes';
    507507
    508         $option = $wpdb->escape($option);
    509508        if ( is_array($value) )
    510509            $value = serialize($value);
    511         $value = $wpdb->escape($value);
    512510        if ( !empty($insert) )
    513511            $insert .= ', ';
    514         $insert .= "('$option', '$value', '$autoload')";
     512        $insert .= $wpdb->prepare( "(%s, %s, %s)", $option, $value, $autoload );
    515513    }
    516514
     
    922920    $insert = '';
    923921    foreach ( $sitemeta as $meta_key => $meta_value ) {
    924         $meta_key = $wpdb->escape( $meta_key );
    925922        if ( is_array( $meta_value ) )
    926923            $meta_value = serialize( $meta_value );
    927         $meta_value = $wpdb->escape( $meta_value );
    928924        if ( !empty( $insert ) )
    929925            $insert .= ', ';
    930         $insert .= "( $network_id, '$meta_key', '$meta_value')";
     926        $insert .= $wpdb->prepare( "( %d, %s, %s)", $network_id, $meta_key, $meta_value );
    931927    }
    932928    $wpdb->query( "INSERT INTO $wpdb->sitemeta ( site_id, meta_key, meta_value ) VALUES " . $insert );
Note: See TracChangeset for help on using the changeset viewer.