那些遇到过的问题

PDO:当用相同的值替换多个参数时,"无效的参数号"

bar*_*art 8 php mysql pdo

如果参数在查询中多次出现,如何绑定我的参数如下?

$STH = $DBH->prepare("SELECT * FROM $table WHERE firstname LIKE :string OR lastname LIKE :string");

$STH->bindValue(':string', '%'.$string.'%', PDO::PARAM_STR);
$result = $STH->execute();
Run Code Online (Sandbox Code Playgroud)

ajr*_*eal 8

您为prepare语句提到了两个参数(具有相同的名称),但是您只为第一个参数提供了一个值(这就是错误的含义).

不太确定PDO如何在内部解决相同参数名称问题,但您始终可以避免这种情况.

两种可能的解决方

$sql = "select * from $table ".
       "where "
       "first_name like concat('%', :fname, '%') or ".
       "last_name  like concat('%', :lname, '%')";
$stmt= $DBH->prepare($sql);
$stmt->bindValue(':fname', $string, PDO::PARAM_STR);
$stmt->bindValue(':lname', $string, PDO::PARAM_STR);
Run Code Online (Sandbox Code Playgroud) 
$sql = "select * from $table ".
       "where "
       "first_name like concat('%', ?, '%') or ".
       "last_name  like concat('%', ?, '%')";
$stmt= $DBH->prepare($sql);
$stmt->bindValue(1, $string, PDO::PARAM_STR);
$stmt->bindValue(2, $string, PDO::PARAM_STR);
Run Code Online (Sandbox Code Playgroud)

顺便说一下,你所做的现有方法仍然存在SQL注入问题.

  • 仅当使用本机预处理语句*时,此问题才存在*,PDO模拟的语句可以多次处理具有名称的案例.要启用或禁用本机语句,可以使用`$ PDO-> setAttribute(PDO :: ATTR_EMULATE_PREPARES,false)`. (8认同)

归档时间:

查看次数:

2490 次

最近记录:

11 年,5 月 前
相关归档
如何计算PHP数组中的非空条目? 49
PHP DateTime __construct()无法解析位置x的时间字符串(xxxxxxxx) 46
使用正则表达式在PHP中命名捕获 40
致命错误:调用未定义的函数mysql_connect() 37
在不使用循环的情况下将字符串分解为关联数组? 26
将参数传递给过滤器 - Laravel 4 22
如何设置phpmyadmin的用户名和密码 19
Bookshelf.js/Knex.js对UTC DATETIME列太"有用"了 14
如何解释mysqldump的输出? 11
我如何使用PDO和memcached设计缓存系统? 6
难疑归档
如何从异步调用返回响应? 5208
让现有的Git分支跟踪一个远程分支? 3437
使用'for'循环迭代字典 2901
在JavaScript中编码URL? 2392
何时在JavaScript中使用双引号或单引号? 1903
如何在Bash中的分隔符上拆分字符串? 1885
如何仅列出两次提交之间更改的文件名? 1807
如何检查Bash中是否设置了变量? 1417
如何在Linux shell脚本中提示是/否/取消输入? 1352
选择每个GROUP BY组中的第一行? 1205