我试图在目录中插入值.如果我的值中没有PHP变量,它就可以正常工作.当我把变量$type
放在VALUES
里面,这就不起作用了.我做错了什么?
$type = 'testing';
mysql_query("INSERT INTO contents (type, reporter, description)
VALUES($type, 'john', 'whatever')");
我试图在目录中插入值.如果我的值中没有PHP变量,它就可以正常工作.当我把变量$type
放在VALUES
里面,这就不起作用了.我做错了什么?
$type = 'testing';
mysql_query("INSERT INTO contents (type, reporter, description)
VALUES($type, 'john', 'whatever')");
在任何MySQL语句中添加PHP变量的规则都非常简单:
因此,由于您的示例只涉及数据文本,所以必须通过占位符(也称为参数)添加所有变量.为此:
下面是如何使用所有流行的PHP数据库驱动程序:
这样的司机doesn't exist岁.
mysqli
$type = 'testing';
$reporter = "John O'Hara";
$query = "INSERT INTO contents (type, reporter, description)
VALUES(?, ?, 'whatever')";
$stmt = $mysqli->prepare($query);
$stmt->bind_param("ss", $type, $reporter);
$stmt->execute();
代码有点复杂,但是关于所有这些操作符的详细解释可以在我的文章How to run an INSERT query using Mysqli中找到,以及一个大大简化了过程的解决方案.
对于SELECT查询,您只需添加一个对get_result()
方法的调用,就可以获得一个熟悉的mysqli_result
方法,您可以用通常的方式从中获取数据:
$reporter = "John O'Hara";
$stmt = $mysqli->prepare("SELECT * FROM users WHERE name=?");
$stmt->bind_param("s", $reporter);
$stmt->execute();
$result = $stmt->get_result();
$row = $result->fetch_assoc(); // or while (...)
$type = 'testing';
$reporter = "John O'Hara";
$query = "INSERT INTO contents (type, reporter, description)
VALUES(?, ?, 'whatever')";
$stmt = $pdo->prepare($query);
$stmt->execute([$type, $reporter]);
在PDO中,我们可以将绑定和执行部分结合起来,这非常方便.PDO还支持一些非常方便的命名占位符.
有时,我们必须添加一个代表查询另一部分的变量,例如关键字或标识符(数据库、表或字段名).这是一个罕见的病例,但最好做好准备.
在这种情况下,必须对照脚本中写入的值列表判断变量.这在我的另一篇文章《Adding a field name in the ORDER BY clause based on the user's choice:
不幸的是,PDO没有标识符(表名和字段名)的占位符,因此开发人员必须手动过滤掉它们.这种过滤器通常被称为"白名单"(我们只列出允许的值),而不是"黑名单",我们列出不允许的值.
因此,我们必须在PHP代码中明确列出所有可能的变体,然后从中进行 Select .
下面是一个例子:
$orderby = $_GET['orderby'] ?: "name"; // set the default value
$allowed = ["name","price","qty"]; // the white list of allowed field names
$key = array_search($orderby, $allowed, true); // see if we have such a name
if ($key === false) {
throw new InvalidArgumentException("Invalid field name");
}
方向应该使用完全相同的方法,
$direction = $_GET['direction'] ?: "ASC";
$allowed = ["ASC","DESC"];
$key = array_search($direction, $allowed, true);
if ($key === false) {
throw new InvalidArgumentException("Invalid ORDER BY direction");
}
在这样的代码之后,$direction
和$orderby
个变量都可以安全地放入SQL查询中,因为它们要么等于允许的变量之一,要么就会抛出错误.
关于标识符,最后要提到的是,它们还必须根据特定的数据库语法进行格式化.对于MySQL,标识符周围应该有backtick
个字符.因此,我们的order by示例的最终查询字符串是
$query = "SELECT * FROM `table` ORDER BY `$orderby` $direction";