我有一个恼人的问题。我正在尝试做一些简单的事情,比如从数据库中获取单元格值。 这是你可以用数据库做的最基本的事情……给我一个值,如果有一个单元格有这个值……
问题在于搜索查询包含冒号 (:)。 我在带有准备好的语句的类中使用 pdo 函数但没有运气。 我已经尝试了一切,甚至将查询分开,因此它不会包含冒号,但仍然没有运气。我试图恢复到 mysqli 但结果仍然相同......
数据表包含诸如 title -> Morlanda C:2 和 sourceID -> S11 之类的值。 顺便说一句,如果我尝试在 phpmyadmin 中搜索标题,当我寻找 Morlanda C:2 时,我会得到我想要的。
但是当我调用我的函数时,会这样:
$sourceID = $sources->sourceAvalibe('Morlanda C:2');
我正在访问我的函数:
public function sourceAvalibe($sourceTitle){
try {
$sql = "SELECT sourceID FROM sources WHERE title=:sourceTitle";
$core = Core::getInstance();
$stmt = $core->dbh->prepare($sql);
$stmt->bindParam(':sourceTitle', $sourceTitle, PDO::PARAM_STR, 32);
$stmt->execute();
$row = $stmt->fetch(PDO::FETCH_ASSOC);
return $row;
}
那么结果将是空的..
但是如果我这样调用函数:
$sourceID = $sources->sourceAvalibe('1910 Massachusetts Census');
结果将返回我正在寻找的内容。
如果查询包含冒号 (:),结果将为空,但如果查询包含不带冒号 (:) 的内容,则返回正确的 sourceID。
我曾尝试以不同的方式转义冒号,但它也找不到结果。
在我发疯之前你能帮帮我吗???
更新 1
你好
感谢您的回答。我正在搜索的数据与数据库中的数据完全相同,使用复制/粘贴。我一直在寻找邪恶的空白,但没有发现任何额外的东西。 我现在改用 bindValue。
关于禁用模拟准备好的语句的评论,我的回答是……怎么回事? :) 我现在在这篇文章中找到了你所说的关于模拟的内容:Best way to prevent SQL injection? ,并更新了我的构造函数类。我仍然得到相同的结果......没有......
我正在为我的数据库连接使用这个构造函数类:
class Core {
public $dbh;
private static $instance;
function __construct(){
$this->dbh = new PDO("mysql:host=$db_host;dbname=$db_name", $db_user, $db_pass,
array(PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8",
PDO::ATTR_EMULATE_PREPARES => false));
}
public static function getInstance(){
if (!isset(self::$instance)){
$object = __CLASS__;
self::$instance = new $object;
}
return self::$instance;
}
}
更新2
你好
当我将搜索值 Morlanda C:2 硬编码到我的 sql 行时,一切都按预期工作。所以我比较了我的 php 生成的标题:
$sourceTitle = $sourcePreTitle." ".$preTitleNumber[0].":". $preTitleNumber[1];
与:
$orginalString = "Morlanda C:2";
而且他们不匹配。 进行了类型检查,但都以 stings 的形式出现。 我开始认为是旧的 UTF8 编码问题困扰着我。 我的数据库、表和单元格设置为 utf8_unicode_ci。 pdo 连接是 UTF8,并使用 Notepad++ 使用“ANSI with UTF-8”(无 BOM)对 php 文件进行了编码。
这里的整个项目是将家谱笔记转化为来源,因此我从同一个数据库中的表中收集了一个长字符串,并将其分解,然后将一些片段组装成一个 sourceTitle,如上所示。然后我搜索数据库以查看源是否已经存在,如果不存在,那么我就创建一个新的。数据的收集和 sourceTilte 的搜索是由同一个 pdo 类完成的。
更新3
你好
这是一个愚蠢的空白或类似的东西...... 我确实在 $sourceTitle 变量上使用了 trim,但没有在 explode 函数的数组中的每个部分上使用。当我这样做时,它起作用了。我猜是最后一个数字之后的尾线或其他东西让我感到困惑。
感谢您的帮助,我现在终于可以将我的 3000 条笔记转换为来源 :) 下一个项目是如何防止我的脚本自定义阻塞我的 VPS...
最佳答案
您绑定(bind)的数据不需要以任何方式转义。这几乎就是绑定(bind)参数的全部要点。您的问题不在于数据中有冒号。很可能是您在代码或实际数据库记录中输入了标题。
在不相关的说明中,最好使用 bindValue()
而不是 bindParam()
用于您的用例:
$stmt->bindValue(':sourceTitle', $sourceTitle);
养成使用 bindValue()
的习惯,除非你知道你需要通过引用绑定(bind)(在这种情况和类似情况下,你只使用一次值,所以你不需要通过引用绑定(bind))。
关于php - 带冒号的查询 ( :) in the search variable using pdo,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13324660/