pdo预处理时,需要绑定字段,但是出现了问题
需要向数据库查询,但是字段和字段值都是客户端传过来的,所以sql语句是这么写的
<code>$sql="select id from goods_type_attr where :field=:value and type_id=:type_id"; $this->stmt=$this->pdo->prepare($sql); $this->stmt->execute($arr); </code>
但是字段名field最后也被做了处理,结果应该是成了selecte ·· from xx where '字段'=····
是 ' 而不是 `,所以导致查不出结果,请问该如何绑定一个字段名呢?
谢谢诸位
回复内容:
需要向数据库查询,但是字段和字段值都是客户端传过来的,所以sql语句是这么写的
<code>$sql="select id from goods_type_attr where :field=:value and type_id=:type_id"; $this->stmt=$this->pdo->prepare($sql); $this->stmt->execute($arr); </code>
但是字段名field最后也被做了处理,结果应该是成了selecte ·· from xx where '字段'=····
是 ' 而不是 `,所以导致查不出结果,请问该如何绑定一个字段名呢?
谢谢诸位
为什么要这样处理呢?
可以定义一个数组 比如
<code>$field = [ 'name' => 'name', 'type' => 'type' ]; $field = $field[$_GET['field']];</code>
这样总不会有注入了吧
我个人建议你最好把你要变更都字段单独做处理之后当作一个变量赋值,字段和值都设置成预处理形式PDO
貌似不能识别
$sql="select id from goods_type_attr where #field1#=:value and type_id=:type_id"; $sql = str_replace("#field1#", $param_field, $sql); $this->stmt=$this->pdo->prepare($sql); $this->stmt->execute($arr);
汗,你这也太死板了。字段名单独处理一下,例如
<code>$field = str_replace('`', '', $field); $sql = "... `{$field}` = :fieldValue";</code>
事实上通常客户端是不能直接传递字段名的,比较危险,最好是用下拉框选择,后台再处理,比如
<code>$useableFields = array('f1', 'f2', 'f3'); if (isset($useableFields['request_field_number'])) $selectedField = $useableFields['request_field_number']; else $selectedField = false;</code>
绑定只能绑定值,字段名要自己处理

熱AI工具

Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool
免費脫衣圖片

Clothoff.io
AI脫衣器

Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱門文章

熱工具

記事本++7.3.1
好用且免費的程式碼編輯器

SublimeText3漢化版
中文版,非常好用

禪工作室 13.0.1
強大的PHP整合開發環境

Dreamweaver CS6
視覺化網頁開發工具

SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)

PHP主要是過程式編程,但也支持面向對象編程(OOP);Python支持多種範式,包括OOP、函數式和過程式編程。 PHP適合web開發,Python適用於多種應用,如數據分析和機器學習。

PHP適合網頁開發和快速原型開發,Python適用於數據科學和機器學習。 1.PHP用於動態網頁開發,語法簡單,適合快速開發。 2.Python語法簡潔,適用於多領域,庫生態系統強大。

Laravel 是一款 PHP 框架,用於輕鬆構建 Web 應用程序。它提供一系列強大的功能,包括:安裝: 使用 Composer 全局安裝 Laravel CLI,並在項目目錄中創建應用程序。路由: 在 routes/web.php 中定義 URL 和處理函數之間的關係。視圖: 在 resources/views 中創建視圖以呈現應用程序的界面。數據庫集成: 提供與 MySQL 等數據庫的開箱即用集成,並使用遷移來創建和修改表。模型和控制器: 模型表示數據庫實體,控制器處理 HTTP 請求。

PHP起源於1994年,由RasmusLerdorf開發,最初用於跟踪網站訪問者,逐漸演變為服務器端腳本語言,廣泛應用於網頁開發。 Python由GuidovanRossum於1980年代末開發,1991年首次發布,強調代碼可讀性和簡潔性,適用於科學計算、數據分析等領域。

PHPhassignificantlyimpactedwebdevelopmentandextendsbeyondit.1)ItpowersmajorplatformslikeWordPressandexcelsindatabaseinteractions.2)PHP'sadaptabilityallowsittoscaleforlargeapplicationsusingframeworkslikeLaravel.3)Beyondweb,PHPisusedincommand-linescrip

在開發一個小型應用時,我遇到了一個棘手的問題:需要快速集成一個輕量級的數據庫操作庫。嘗試了多個庫後,我發現它們要么功能過多,要么兼容性不佳。最終,我找到了minii/db,這是一個基於Yii2的簡化版本,完美地解決了我的問題。

文章摘要:本文提供了詳細分步說明,指導讀者如何輕鬆安裝 Laravel 框架。 Laravel 是一個功能強大的 PHP 框架,它 упростил 和加快了 web 應用程序的開發過程。本教程涵蓋了從系統要求到配置數據庫和設置路由等各個方面的安裝過程。通過遵循這些步驟,讀者可以快速高效地為他們的 Laravel 項目打下堅實的基礎。

MySQL与其他编程语言相比,主要用于存储和管理数据,而其他语言如Python、Java、C 则用于逻辑处理和应用开发。MySQL以其高性能、可扩展性和跨平台支持著称,适合数据管理需求,而其他语言在各自领域如数据分析、企业应用和系统编程中各有优势。
