Pup*_*ppe 3 php wordpress prepared-statement
我目前正在学习 Wordpress 和 PHP,我也在使用 WooCommerce。我目前有一个包含三个输入字段的表单,我想检查用户输入的有关订单的数据是否正确,以便用户可以继续进入下一页。
我当前的代码如下所示,我不确定我是否走在正确的方向上,有什么帮助吗?
if(isset($_POST['submit'])) {
global $wpdb;
$ordernumber = $_POST['ordernmbr'];
$orderfirstname = $_POST['firstname'];
$orderpostnumber = $_POST['postnmbr'];
$ordernumber = stripslashes_deep($ordernumber);
$orderfirstname = stripslashes_deep($orderfirstname);
$orderpostnumber = stripslashes_deep($orderpostnumber);
$result = $wpdb->get_results($wpdb->prepare( "SELECT * FROM $wpdb->wp_postmeta
WHERE post_id = '$ordernumber' AND meta_value = '$orderfirstname'"));
您可以使用准备来做到这一点:
$sql = 'DELETE FROM `wp_table` WHERE `id_field` = %d';
$wpdb->query($wpdb->prepare($sql, array($_POST['id']))
值得了解的好事情:
%d - number
%s - string
%f - float
传递的变量数组按顺序工作,因此如果您有如下查询:
SELECT * FROM `wp_table` WHERE `string_field` = %s AND `id_field` = %d
你会做
array(
$_POST['string'],
$_POST['id']
)
如果是删除/更新,请使用查询并准备。如果选择使用prepare和get_results。
选择:
$sql = 'SELECT * FROM `wp_table` WHERE `id` = %d';
$sql = $wpdb->prepare($sql, array($_POST['id']));
$res = $wpdb->get_results($sql);
小智 5
最佳实践是始终使用,prepare但它的主要用途是防止 SQL 注入攻击,并且由于没有来自用户/访问者的输入或者他们无法影响查询,那么这在您当前的示例中不是问题。
但正如我之前所说,使用它是最佳实践,一旦开始使用它,您就永远不会停止,因此在您的示例中,您可以像这样使用它:
global $wpdb;
$tablename = $wpdb->prefix . "my_custom_table";
$sql = $wpdb->prepare( "SELECT * FROM %s ORDER BY date_created DESC",$tablename );
$results = $wpdb->get_results( $sql , ARRAY_A );
要了解有关如何使用它的更多信息,请前往法典
| 归档时间: |
|
| 查看次数: |
6124 次 |
| 最近记录: |