Rumah > Soal Jawab > teks badan
Saya cuba memasukkan nilai ke dalam jadual kandungan. Ia berfungsi dengan baik jika tiada pembolehubah PHP dalam VALUES. Walau bagaimanapun, apabila saya meletakkan pembolehubah $type
放在VALUES
di dalamnya, ia tidak berfungsi. Apa yang saya buat salah?
$type = 'testing'; mysql_query("INSERT INTO contents (type, reporter, description) VALUES($type, 'john', 'whatever')");
P粉2390894432023-09-17 12:00:21
Untuk mengelakkan suntikan SQL, pernyataan sisipan adalah:
$type = 'testing'; $name = 'john'; $description = 'whatever'; $con = new mysqli($user, $pass, $db); $stmt = $con->prepare("INSERT INTO contents (type, reporter, description) VALUES (?, ?, ?)"); $stmt->bind_param("sss", $type , $name, $description); $stmt->execute();
P粉0368000742023-09-17 10:48:29
Peraturan untuk menambah pembolehubah PHP dalam mana-mana pernyataan MySQL adalah mudah dan mudah:
Peraturan ini terpakai kepada 99% pertanyaan dan ia juga terpakai kepada pertanyaan anda. Sebarang pembolehubah yang mewakili data SQL secara literal (atau ringkasnya, rentetan atau nombor SQL) mesti ditambah melalui pernyataan yang disediakan. Tanpa terkecuali.
Kaedah ini terdiri daripada empat langkah asas:
Begini cara untuk mencapai ini dalam semua pemacu pangkalan data PHP yang popular:
mysqli
untuk menambah literal dataVersi PHP semasa membolehkan anda menyediakan/mengikat/melaksanakan dalam satu panggilan:
$type = 'testing'; $reporter = "John O'Hara"; $query = "INSERT INTO contents (type, reporter, description) VALUES(?, ?, 'whatever')"; $mysqli->execute_query($query, [$type, $reporter]);
Jika anda mempunyai versi PHP yang lebih lama, anda mesti menyediakan/mengikat/melaksanakan secara eksplisit:
$type = 'testing'; $reporter = "John O'Hara"; $query = "INSERT INTO contents (type, reporter, description) VALUES(?, ?, 'whatever')"; $stmt = $mysqli->prepare($query); $stmt->bind_param("ss", $type, $reporter); $stmt->execute();
Kod ini agak rumit, tetapi penjelasan terperinci tentang semua operator ini boleh didapati dalam artikel saya Cara menjalankan pertanyaan INSERT menggunakan Mysqli, serta penyelesaian yang boleh memudahkan proses dengan banyak.
Untuk pertanyaan PILIH, anda boleh menggunakan kaedah yang sama seperti di atas:
$reporter = "John O'Hara"; $result = $mysqli->execute_query("SELECT * FROM users WHERE name=?", [$reporter]); $row = $result->fetch_assoc(); // 或者 while (...)
Walau bagaimanapun, jika anda mempunyai versi PHP yang lebih lama, anda perlu melakukan rutin menyediakan/mengikat/melaksanakan dan juga perlu memanggil get_result()
方法,以便从中获取一个熟悉的mysqli_result
dari mana data boleh diekstrak dengan cara biasa:
$reporter = "John O'Hara"; $stmt = $mysqli->prepare("SELECT * FROM users WHERE name=?"); $stmt->bind_param("s", $reporter); $stmt->execute(); $result = $stmt->get_result(); $row = $result->fetch_assoc(); // 或者 while (...)
$type = 'testing'; $reporter = "John O'Hara"; $query = "INSERT INTO contents (type, reporter, description) VALUES(?, ?, 'whatever')"; $stmt = $pdo->prepare($query); $stmt->execute([$type, $reporter]);
Dalam PDO, kita boleh menggabungkan bahagian pengikat dan pelaksanaan bersama-sama, yang sangat mudah. PDO juga menyokong ruang letak bernama, yang sesetengah orang mendapati sangat mudah.
Sebarang bahagian pertanyaan lain, seperti kata kunci SQL, nama jadual atau medan, atau pengendali, mesti ditapis melalui senarai putih.
Kadangkala kita perlu menambah pembolehubah yang mewakili bahagian lain pertanyaan, seperti kata kunci atau pengecam (pangkalan data, jadual atau nama medan). Ini adalah situasi yang jarang berlaku, tetapi lebih baik untuk bersedia.
Dalam kes ini, pembolehubah anda mesti disemak terhadap senarai nilai ditulis secara eksplisit dalam skrip anda. Ini dijelaskan secara terperinci dalam artikel saya yang lain Tambahkan nama medan mengikut klausa ORDER BY berdasarkan pilihan pengguna:
Berikut adalah contoh:
$orderby = $_GET['orderby'] ?: "name"; // 设置默认值 $allowed = ["name","price","qty"]; // 允许的字段名的白名单 $key = array_search($orderby, $allowed, true); // 看看是否有这个名字 if ($key === false) { throw new InvalidArgumentException("无效的字段名"); }
$direction = $_GET['direction'] ?: "ASC"; $allowed = ["ASC","DESC"]; $key = array_search($direction, $allowed, true); if ($key === false) { throw new InvalidArgumentException("无效的ORDER BY方向"); }
Selepas kod seperti ini, $direction
和$orderby
pembolehubah boleh dimasukkan dengan selamat ke dalam pertanyaan SQL kerana ia sama ada akan sama dengan salah satu varian yang dibenarkan atau ralat akan dilemparkan.
Satu perkara terakhir yang perlu dinyatakan ialah pengecam juga mesti diformat mengikut sintaks pangkalan data tertentu. Untuk MySQL, pengecam harus dikelilingi oleh backtick
aksara. Jadi rentetan pertanyaan terakhir untuk contoh ORDER BY kami hendaklah:
$query = "SELECT * FROM `table` ORDER BY `$orderby` $direction";