为什么我的 PDO 准备的'INSERT INTO”语句不起作用？

对 MySQL 中 INSERT INTO 的 PDO 准备语句进行故障排除

对 MySQL INSERT INTO 操作使用 PDO 准备语句有时会导致意外结果，例如没有插入数据。 让我们检查一个常见原因及其解决方案。

考虑这段代码：

<code class="language-php">$statement = $link->prepare("INSERT INTO testtable(name, lastname, age)
        VALUES('Bob','Desaunois','18')");

$statement->execute();</code>

此代码尝试将新行插入testtable，但通常无法填充数据库。

缺失的环节：参数绑定

问题在于没有参数绑定。 虽然准备好的语句增强了针对 SQL 注入的安全性，但它们要求您使用值的占位符，而不是直接将它们嵌入到查询中。 这可以实现更安全、更高效的执行，特别是在使用多组数据运行相同查询时。

解决方案：命名参数和位置参数

以下是正确实现参数绑定的两种方法：

1。命名参数：

<code class="language-php">$statement = $link->prepare('INSERT INTO testtable (name, lastname, age)
    VALUES (:fname, :sname, :age)');

$statement->execute([
    ':fname' => 'Bob',
    ':sname' => 'Desaunois',
    ':age' => '18',
]);</code>

这使用命名占位符（:fname、:sname、:age），这些占位符映射到 execute() 方法数组中的值。

2。位置参数：

<code class="language-php">$statement = $link->prepare('INSERT INTO testtable (name, lastname, age)
    VALUES (?, ?, ?)');

$statement->execute(['Bob', 'Desaunois', '18']);</code>

它使用问号 (?) 作为占位符，并在 execute() 方法的数组中提供相应的值。 这里的顺序至关重要。

这两种方法都可以有效地绑定参数，防止SQL注入并确保数据插入的可靠。 选择最适合您的编码风格和项目要求的方法。 请记住，在查询中使用用户输入之前，即使使用准备好的语句，也要始终对其进行清理，以保持最佳的安全性。

以上是为什么我的 PDO 准备的'INSERT INTO”语句不起作用？的详细内容。更多信息请关注PHP中文网其他相关文章！