Bagaimana untuk memasukkan pembolehubah PHP dalam pernyataan MySQL
P粉738248522
2023-08-23 21:12:18
<p>Saya cuba memasukkan nilai ke dalam jadual kandungan. Jika saya tidak mempunyai pembolehubah PHP dalam VALUES ia berfungsi dengan baik. Ini tidak berfungsi apabila saya meletakkan pembolehubah <code>$type</code> Apa yang saya buat salah? </p>
<pre class="brush:php;toolbar:false;">$type = 'testing';
mysql_query("INSERT INTO contents (type, reporter, description)
VALUES($type, 'john', 'whatever')");</pre>
<p><br /></p>
Untuk mengelakkan suntikan SQL, masukkan pernyataan dengan be
Peraturan untuk menambah pembolehubah PHP pada mana-mana pernyataan MySQL adalah mudah dan mudah:
1. Gunakan pernyataan yang disediakan
Peraturan ini meliputi 99% pertanyaan, terutamanya pertanyaan anda. Sebarang pembolehubah yang mewakili literal data SQL (atau, ringkasnya - rentetan atau nombor SQL) mesti ditambah melalui pernyataan yang disediakan. Tiada pengecualian.
Kaedah ini melibatkan empat langkah asas
Begini cara melakukannya menggunakan semua pemacu pangkalan data PHP yang popular:
Tambah teks data menggunakan
mysqli
Versi PHP semasa membolehkan anda menyediakan/mengikat/melaksanakan dalam satu panggilan:
Jika anda mempunyai versi PHP yang lebih lama, penyediaan/pengikatan/pelaksanaan mesti dilakukan secara eksplisit:
Kod ini agak rumit, tetapi penjelasan terperinci tentang semua operator ini boleh didapati dalam artikel saya, Cara menjalankan pertanyaan INSERT menggunakan Mysqli, serta penyelesaian yang memudahkan proses dengan ketara.
Untuk pertanyaan PILIH, anda boleh menggunakan kaedah yang sama seperti di atas:
Walau bagaimanapun, jika anda mempunyai versi PHP yang lebih lama, anda perlu melakukan rutin menyediakan/mengikat/melaksanakan dan menambah pasangan itu
get_result()
方法的调用,以获得熟悉的mysqli_result Anda boleh mendapatkan data daripadanya dengan cara biasa:Gunakan PDO untuk menambah teks data
Dalam PDO, kami boleh menggabungkan bahagian pengikat dan pelaksanaan, yang sangat mudah. PDO juga menyokong ruang letak bernama, yang sesetengah orang mendapati sangat mudah.
2. Gunakan penapisan senarai putih
Sebarang bahagian pertanyaan lain, seperti kata kunci SQL, nama jadual atau medan, atau operator - mesti ditapis melalui senarai putih.
Kadangkala kita perlu menambah pembolehubah yang mewakili bahagian lain pertanyaan, seperti kata kunci atau pengecam (pangkalan data, jadual atau nama medan). Keadaan ini jarang berlaku, tetapi lebih baik untuk bersedia.
Dalam kes ini, pembolehubah anda mesti disemak terhadap senarai nilai ditulis secara eksplisit dalam skrip. Ini dijelaskan dalam artikel saya yang lain Menambah nama medan dalam ORDER BY klausa berdasarkan pilihan pengguna:
Berikut adalah contoh:
Selepas kod seperti ini,
$direction
和$orderby
pembolehubah selamat untuk dimasukkan ke dalam pertanyaan SQL kerana ia sama ada akan sama dengan salah satu varian yang dibenarkan atau ralat akan dilemparkan.Satu perkara terakhir yang perlu disebutkan tentang pengecam ialah ia juga mesti diformat mengikut sintaks pangkalan data tertentu. Untuk MySQL, ia mestilah
反引号
aksara yang mengelilingi pengecam. Jadi rentetan pertanyaan terakhir untuk contoh pesanan kami ialah