WordPress.org

Make WordPress Core


Ignore:
Timestamp:
03/01/13 17:01:01 (3 years ago)
Author:
ryan
Message:

Use prepare instead of escape.

see #21767

File:
1 edited

Legend:

Unmodified
Added
Removed
  • trunk/wp-admin/includes/schema.php

    r23554 r23564  
    506506            $autoload = 'yes'; 
    507507 
    508         $option = $wpdb->escape($option); 
    509508        if ( is_array($value) ) 
    510509            $value = serialize($value); 
    511         $value = $wpdb->escape($value); 
    512510        if ( !empty($insert) ) 
    513511            $insert .= ', '; 
    514         $insert .= "('$option', '$value', '$autoload')"; 
     512        $insert .= $wpdb->prepare( "(%s, %s, %s)", $option, $value, $autoload ); 
    515513    } 
    516514 
     
    922920    $insert = ''; 
    923921    foreach ( $sitemeta as $meta_key => $meta_value ) { 
    924         $meta_key = $wpdb->escape( $meta_key ); 
    925922        if ( is_array( $meta_value ) ) 
    926923            $meta_value = serialize( $meta_value ); 
    927         $meta_value = $wpdb->escape( $meta_value ); 
    928924        if ( !empty( $insert ) ) 
    929925            $insert .= ', '; 
    930         $insert .= "( $network_id, '$meta_key', '$meta_value')"; 
     926        $insert .= $wpdb->prepare( "( %d, %s, %s)", $network_id, $meta_key, $meta_value ); 
    931927    } 
    932928    $wpdb->query( "INSERT INTO $wpdb->sitemeta ( site_id, meta_key, meta_value ) VALUES " . $insert ); 
Note: See TracChangeset for help on using the changeset viewer.