当前位置: 首页 > 面试题库 >

可以在PDO准备好的语句中参数化哪些令牌?

韶弘壮
2023-03-14
问题内容

我在玩PHP / PDO中准备好的语句。基本查询工作正常,将值传递给WHERE子句:

$stmt = $db->prepare( 'SELECT title FROM episode WHERE id=:id' );
$stmt->bindParam( ':id', $id, PDO::PARAM_INT );
$id = 5;
$stmt->execute();

但是我有一种情况,我需要为字段名称传递变量。此查询(具有适当的绑定)可以正常工作:

SELECT :field FROM episode WHERE id=:id

这给出了一个错误:

SELECT title FROM :field WHERE id=:id

这个不会给出错误,但是不会返回任何行:

SELECT title FROM episode WHERE :field=:id

那么,哪些事情应该在准备好的语句中起作用?我可以“参数化”字段名称,表名称等吗?


问题答案:

表名和列名不能用PDO中的参数替换。

在这种情况下,您只需要手动过滤和清理数据。一种实现方法是将简写参数传递给将动态执行查询的函数,然后使用一条switch()语句创建要用于表名或列名的有效值白名单。这样,就不会有用户输入直接进入查询。因此,例如:

function buildQuery( $get_var ) 
{
    switch($get_var)
    {
        case 1:
            $tbl = 'users';
            break;
    }

    $sql = "SELECT * FROM $tbl";
}

通过不保留默认大小写或使用返回错误消息的默认大小写,可以确保仅使用要使用的值。



 类似资料:
  • 问题内容: 我已经多次使用mysqli_stmt_bind_param函数。但是,如果我分开试图防止SQL注入的变量,则会遇到错误。 这是一些代码示例: 是否有可能以某种方式用另一个问号语句替换串联,制作另一个绑定参数语句或添加到现有的语句中以防止SQL注入? 像这样或某种形式: 问题答案: 对您的问题的简短回答是“否”。 从最严格的意义上讲,在数据库级别,准备好的语句仅允许将参数绑定到SQL语句

  • 问题内容: 今天有人告诉我,我确实应该在应用程序中使用PDO和准备好的语句。在我了解好处的同时,我也在努力了解如何将其实现到我的工作流程中。除了它使代码更简洁外,我是否应该有一个特定的数据库类来容纳所有准备好的语句,还是应该在每次运行查询时都创建一个?我发现很难理解何时应使用标准PDO查询以及何时应使用准备好的语句。任何示例,技巧或教程链接将不胜感激。 问题答案: pdo :: prepare()

  • 问题内容: 我正在自定义由hibernate生成的插入SQL,并遇到了问题。当Hibernate自己生成查询时,它将数据插入表的前两列,但这会导致数据库错误,因为表的所有四列都是不可为空的。为了正确执行插入,它必须将相同的数据插入到新记录的两列中。这意味着我需要Hibernate将相同的数据绑定到我正在编写的查询(准备好的语句)中的两个不同的参数上。 是否有一些SQL语法可让我以与绑定到绑定语句不

  • 问题内容: 使用PDO时,我已经看到很多文章在命名参数前使用冒号(),还有一些不使用冒号的文章。我会尽快不使用冒号,只是因为它的按键少了一点,而且读起来也更容易一点。 这似乎对我来说很好,但是我很好奇在使用冒号时是否缺少一些重要的东西? 例如,这很好用: 与大多数使用此功能的开发人员相对,这也可以: 注意语句参数中的冒号。 我想了解冒号的用途。 问题答案: SQL语句中必须使用冒号,以指示哪些标识

  • 问题内容: 我一直在做的简单连接,: 虽然使用这个我一直使用的简单的方法,使查询之前逃脱的任何数据,不管是,,或者通过使用 现在我知道这在一定程度上是安全的! 它逃脱了危险人物;但是,它仍然容易受到其他攻击的攻击,这些攻击可能包含安全字符,但可能有害于显示数据或在某些情况下恶意修改或删除数据。 因此,我进行了一些搜索,以了解有关PDO,MySQLi和准备好的语句的信息。是的,我可能迟到了游戏,但是

  • 问题内容: 我正在编写一些SQL,并使用AdoDb连接到我的数据库并运行查询等等。我正在使用参数化查询,并且遇到了麻烦。 它们是将值的数组传递给AdoDb / MySql中的in_clause进行参数化的一种方法。 我的问题是,如果我将准备好的字符串作为参数传递,即 ‘test’,’test2’,’test3’, 则它不起作用,因为库或数据库会自动对其进行转义并在开头和结尾处添加外部引号,因此所有