我目前正在建立一个查询,其中字段/列和值部分都可能由用户输入的数据组成。
问题是转义字段名。我正在使用准备好的语句来正确地转义和引用值,但是在转义字段名时遇到了麻烦。
任何人都知道最好的方法是在将字段名称传递给PDO :: prepare之前正确地将其插入查询中?
进行分隔标识符的ANSI标准方法是:
SELECT "field1" ...
如果名称中有一个“,请将其加倍:
SELECT "some""thing" ...
不幸的是,在默认设置下,这在MySQL中不起作用,因为MySQL倾向于认为双引号可以代替字符串文字的单引号。在这种情况下,您必须使用反引号(如Björn所述)和反斜杠转义。
为了正确地进行反斜杠转义,您 将 需要mysql_real_escape_string,因为它与字符集有关。但是,这很重要,因为
mysql_real_escape_string或加号都不会转义反引号字符
。如果可以确定列名中绝不会出现非ASCII字符,则只需手动反斜杠将`和\字符转义即可。
无论哪种方式,这都与其他数据库不兼容。您可以通过设置配置选项ANSI_QUOTES来告诉MySQL允许ANSI语法。同样,默认情况下,SQL
Server也用双引号引起阻塞。它使用了另一种语法,即方括号。同样,您可以使用“ quoted_identifier”选项将其配置为支持ANSI语法。
简介:如果仅需要MySQL兼容性:
一个。使用反引号并在名称中禁止反引号,反斜杠和nul字符,因为转义它们是不可靠的
如果需要跨DBMS兼容性,请执行以下任一操作:
b。使用双引号,并要求MySQL / SQL-
Server用户适当地更改配置。禁止在名称中使用双引号字符(因为Oracle甚至无法转义也不能处理它们)。要么,
C。对MySQL vs SQL Server vs Others进行设置,并根据其产生反引号,方括号或双引号语法。禁止双引号和反斜杠/反引号/ nul。
您希望数据访问层具有此功能,但是PDO没有。
摘要摘要:任意列名称是一个问题,如果可以帮助,最好避免使用。
摘要摘要:gnnnnnnnnnnnh。
问题内容: 在PDO :: Prepare页上指出: “并且通过消除对参数的手动引用来帮助防止SQL注入攻击” 知道这一点,是否有一个像mysql_real_escape_string()这样的PHP函数可以照顾到PDO的转义?还是PDO会为我做好一切转义? 编辑 我现在意识到我问了一个错误的问题。我的问题确实是,“ PDO会为我做什么?” 我现在通过这些答案意识到,它实际上仅消除了对引号进行转义
问题内容: 这个问题已经在这里有了答案 : 我可以使用PDO准备好的语句来绑定标识符(表或字段名)或语法关键字吗? (1个答案) 去年关闭。 是否可以在准备好的MySQL语句中将列名作为参数传递?请看以下示例: PDO 在每个参数周围添加,因此上面的中线变为: 哪个MySQL不喜欢。有没有一种方法可以在PDO语句中包含字段名的参数,并接受它们? 否则,我猜我将不得不编写一些不同的PDO语句,具体取
问题内容: 今天有人告诉我,我确实应该在应用程序中使用PDO和准备好的语句。在我了解好处的同时,我也在努力了解如何将其实现到我的工作流程中。除了它使代码更简洁外,我是否应该有一个特定的数据库类来容纳所有准备好的语句,还是应该在每次运行查询时都创建一个?我发现很难理解何时应使用标准PDO查询以及何时应使用准备好的语句。任何示例,技巧或教程链接将不胜感激。 问题答案: pdo :: prepare()
我当前有一个Get变量 我正尝试将其添加到sql语句中,如下所示: 然后运行 我得到一个无效的列名。但这是没有意义的,因为如果我手动将请求这样放入 我获取列数据,只是当我将其作为get变量输入时没有。我做错了什么。我对PDO比较陌生。 更新:现在我有以下内容: 而且 但我得到了
问题内容: 如何在node-mysql中转义MySQL LIKE语句? 遵循以下原则 结果是 这是语法错误。如果我使用的替代语法 导致类似的语法错误。我也尝试过 最终只是转义了’%’符号。 问题答案: 不知道为什么在上一个示例中转义了它,因为这对我来说很好: 当我在驱动程序中打开调试功能(作为参数传递给)时,它无法逃脱百分号: (它 确实 转义了单引号,但这仅用于显示目的) (使用)
问题内容: 有没有办法将这些bindParam语句放入一个语句中? 我使用mysqli在可能的地方准备好了,我切换到PDO以获得assoc_array支持。在PDO的php.net网站上,它们以单独的行显示,在所有示例中,我都看到它以单独的行显示。 可能吗? 问题答案: 页面上的示例2 是您想要的: 您可能也想看看其他示例。使用问号参数,将为: 如果只有这些列,则可以编写: