【发布时间】:2013-04-19 15:47:54
【问题描述】:
我目前正在使用已弃用的代码从用户那里获取数据,如下:
/* retrieve */
$lastName = $_POST['lastName'];
$firstName = $_POST['firstName'];
$examLevel=$_POST['level'];
/* connect */
$dbc=mysql_connect("localhost", "user", "passw") or die('Error connecting to MySQL server');
mysql_select_db("db") or die('Error selecting database.');
/* sanitize */
$lastName=mysql_real_escape_string($lastName);
$firstName=mysql_real_escape_string($firstName);
$examLevel=mysql_real_escape_string($examLevel);
/* insert */
$query_personal = "INSERT INTO personal (LastName, FirstName) VALUES ('$lastName', '$firstName')";
$query_exam = "INSERT INTO exam (Level, Centre, BackupCentre, etc.) VALUES ('$examLevel', '$centre', '$backup', 'etc')";
这很有效,但我不断收到有关安全性和缺乏支持的警告。 connect 用 mysqli 而不是 mysql 进行了小的重写,但是 mysqli_real_escape_string 呢?我已经看到它在示例中使用过,但我也看到了使用准备好的语句而不使用 mysqli_real_escape_string 的建议。
我将如何使用准备好的语句来插入我的数据?到目前为止,我对这一点有点不知所措。例如,参数绑定只针对 INSERT,结果绑定只针对 SELECT?
【问题讨论】:
-
抱歉,无法正确格式化代码。
-
标记所有代码并点击
{}有什么难的? -
不知道是这里被光顾的记录吗? 2分35秒。我会努力掌握的!
-
您是否阅读了手册以了解
mysqli_*并实施它?如果没有,here you go -
PDO 的命名参数使绑定占位符值更易于管理。
标签: php mysql mysqli prepared-statement