為什麼我的 PDO 準備的「INSERT INTO」語句不起作用？

對 MySQL 中 INSERT INTO 的 PDO 準備語句進行故障排除

對 MySQL INSERT INTO 操作使用 PDO 準備語句有時會導致意外結果，例如沒有插入資料。 讓我們檢查一個常見原因及其解決方案。

考慮這段程式碼：

$statement = $link->prepare("INSERT INTO testtable(name, lastname, age)
        VALUES('Bob','Desaunois','18')");

$statement->execute();

此程式碼嘗試將新行插入testtable，但通常無法填入資料庫。

缺失的環節：參數綁定

問題在於沒有參數綁定。 雖然準備好的語句增強了針對 SQL 注入的安全性，但它們要求您使用值的佔位符，而不是直接將它們嵌入到查詢中。 這可以實現更安全、更有效率的執行，特別是在使用多組資料執行相同查詢時。

解：命名參數與位置參數

以下是正確實作參數綁定的兩種方法：

1。命名參數：

$statement = $link->prepare('INSERT INTO testtable (name, lastname, age)
    VALUES (:fname, :sname, :age)');

$statement->execute([
    ':fname' => 'Bob',
    ':sname' => 'Desaunois',
    ':age' => '18',
]);

這使用命名佔位符（:fname、:sname、:age），這些佔位符會對應到 execute() 方法陣列中的值。

2。位置參數：

$statement = $link->prepare('INSERT INTO testtable (name, lastname, age)
    VALUES (?, ?, ?)');

$statement->execute(['Bob', 'Desaunois', '18']);

它使用問號 (?) 作為佔位符，並在 execute() 方法的陣列中提供對應的值。 這裡的順序至關重要。

這兩種方法都可以有效地綁定參數，防止SQL注入並確保資料插入的可靠。 選擇最適合您的程式設計風格和專案要求的方法。 請記住，在查詢中使用使用者輸入之前，即使使用準備好的語句，也要始終對其進行清理，以保持最佳的安全性。

以上是為什麼我的 PDO 準備的「INSERT INTO」語句不起作用？的詳細內容。更多資訊請關注PHP中文網其他相關文章！