我第一次尝试在 MySQL 数据库中使用准备好的语句和 PDO。我一直在引用 MySQL 开发人员的 PDO 教程、有关 PHP 数据对象的 PHP 手册页以及 SO 中涉及此问题的大量答案,但我无法找到我做错了什么。
具体来说,我无法使用命名占位符。有人可以帮我纠正一下吗?
我正在使用的数据库表,t_list是
`user_id` mediumint(8) unsigned NOT NULL,
`list_name` char(30) NOT NULL,
`list_items` longtext NOT NULL,
`timestamp` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
PRIMARY KEY (`user_id`,`list_name`)
直接在 SQL 中使用变量的不安全方法是有效的......
if ($tableName=="t_list") {
try {
$stmt = $db->prepare("SELECT * FROM t_list");
$stmt->bindValue(":user_id", $user_id, PDO::PARAM_INT);
$stmt->bindValue(":list_name", $list_name, PDO::PARAM_STR);
$stmt->execute();
foreach($db->query("SELECT `list_items` FROM t_list WHERE user_id=$user_id AND list_name='$list_name'") as $row) {
$found = 1;
echo $row['list_items'];
}
$stmt->debugDumpParams();
} catch(PDOException $e) {
echo "An error occured reading 't_list' table!";
echo $e->getMessage();
}
if ($found==0) {
echo "read failed : " . $user_id . " / " . $list_name . " not found:";
}
} else {
echo 'tableName not recognized (' . $tableName . ')';
}
...但我认为我应该能够使代码安全的是:
foreach($db->query("SELECT `list_items` FROM t_list WHERE user_id=:user_id AND list_name=:list_name") as $row) {
正如另一个答案中所建议的,我首先这样做:
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
没有 MySQL 或 PHP 错误消息。
发生了什么:
当到达上面的代码时,假设 $user_id 中的值为 2,$list_name 为“AAAA”。表中有一条对应于用户 2/列表 AAAA 的记录,但它不是检索该一条记录,而是检索用户 0 的所有记录。如果我将 :user_id 替换为 $user_id,它会恢复正确的用户,但会恢复用户 0 的所有数据。该用户,而不仅仅是一个 list_name 记录。
我试过了
$stmt->bindValue(":user_id", (int) trim ($user_id), PDO::PARAM_INT);
但是对于用户 2 来说,它仍然给了我用户 0 的记录。我也尝试过使用bindParam,但我认为bindValue是我在这种情况下应该使用的。
我在查询后添加了 $stmt->debugDumpParams() 并显示:
SQL: [23] SELECT * FROM todo_list
Params: 0
我不知道 Params 0 是否是一个有用的指示。
我对绑定(bind)的使用失败了,但我不明白为什么。我在最新安装的 Ubuntu 上运行它。
最佳答案
我觉得你搞反了。使用绑定(bind)参数的正确方法应该是这样的:
if ($tableName=="t_list") {
try {
$stmt = $db->prepare("SELECT * FROM t_list WHERE user_id=:user_id and list_name=:list_name");
$stmt->bindValue(":user_id", $user_id, PDO::PARAM_INT);
$stmt->bindValue(":list_name", $list_name, PDO::PARAM_STR);
$stmt->execute();
$rows = $stmt->fetchAll();
foreach($rows as $row) {
$found = 1;
echo $row['list_items'];
}
$stmt->debugDumpParams();
} catch(PDOException $e) {
echo "An error occured reading 't_list' table!";
echo $e->getMessage();
}
if ($found==0) {
echo "read failed : " . $user_id . " / " . $list_name . " not found:";
}
} else {
echo 'tableName not recognized (' . $tableName . ')';
}
关于php - PDO 与 bindValue 绑定(bind)不起作用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29459709/