对 MySQL 中 INSERT INTO 的 PDO 准备语句进行故障排除
对 MySQL INSERT INTO 操作使用 PDO 准备语句有时会导致意外结果,例如没有插入数据。 让我们检查一个常见原因及其解决方案。
考虑这段代码:
<code class="language-php">$statement = $link->prepare("INSERT INTO testtable(name, lastname, age)
VALUES('Bob','Desaunois','18')");
$statement->execute();</code>此代码尝试将新行插入testtable,但通常无法填充数据库。
缺失的环节:参数绑定
问题在于没有参数绑定。 虽然准备好的语句增强了针对 SQL 注入的安全性,但它们要求您使用值的占位符,而不是直接将它们嵌入到查询中。 这可以实现更安全、更高效的执行,特别是在使用多组数据运行相同查询时。
解决方案:命名参数和位置参数
以下是正确实现参数绑定的两种方法:
1。命名参数:
<code class="language-php">$statement = $link->prepare('INSERT INTO testtable (name, lastname, age)
VALUES (:fname, :sname, :age)');
$statement->execute([
':fname' => 'Bob',
':sname' => 'Desaunois',
':age' => '18',
]);</code>这使用命名占位符(:fname、:sname、:age),这些占位符映射到 execute() 方法数组中的值。
2。位置参数:
<code class="language-php">$statement = $link->prepare('INSERT INTO testtable (name, lastname, age)
VALUES (?, ?, ?)');
$statement->execute(['Bob', 'Desaunois', '18']);</code>它使用问号 (?) 作为占位符,并在 execute() 方法的数组中提供相应的值。 这里的顺序至关重要。
这两种方法都可以有效地绑定参数,防止SQL注入并确保数据插入的可靠。 选择最适合您的编码风格和项目要求的方法。 请记住,在查询中使用用户输入之前,即使使用准备好的语句,也要始终对其进行清理,以保持最佳的安全性。
以上是为什么我的 PDO 准备的'INSERT INTO”语句不起作用?的详细内容。更多信息请关注PHP中文网其他相关文章!
