我们使用 doctrine 2 并希望编写如下参数化代码:
attributes @> \'{' . $con->quote($attrId) . ':' . (int)$value . '}\'';
有这样的查询:
WHERE attributes @>'{"color":14}';
"color"
是属性的自定义(用户选择的)名称。所以我觉得quote()
是屏蔽它的适当功能。但是它用单引号包裹了一个参数,导致请求语法不正确。
quoteIdentifier()
函数用双引号引起来,但我不确定在这种情况下使用它是否正确。
如何构建安全的代码来获取我需要的请求?
最佳答案
这是一种使用 json_build_object
和 pg_exec_params
的方法:
<?php
$dbconn = pg_connect('');
$data = 'some"th\'ing';
pg_query_params($dbconn, 'SELECT json_build_object($1::text, $2::integer)', [$data, 14]);
?>
您需要显式类型转换,以便 PostgreSQL 知道参数是字符串还是数字。
关于php - 转义文字,使其用双引号引起来,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54353570/