我正在使用原始文本查询来生成结果。但是为了避免 sql 注入,它希望对传入 userStat() 函数的变量(即 $from 和 $to)进行参数化查询。
puclic function userStat($from, $to){
$sql = "select u.user_id as ID, u.email as Email
from User u
where u.type = 'x'
and u.join_date BETWEEN '$from' AND '$to'";
$rawData = Yii::app()->db->createCommand($sql);
return $userData = new CSqlDataProvider($rawData, array(
'keyField'=>'ID',
));
}
现在我想用文本查询($sql)绑定 $from 和 $to。
请帮我弄清楚这一点。