【发布时间】:2015-06-23 13:18:57
【问题描述】:
我正在编辑我找到的关于内联编辑的教程。它使用 mysql,但显然我想使用 mysqli,因为 mysql 已贬值。我已经改变了大部分,但有一部分给我带来了困难。有一个单独的文件被调用来连接到数据库并运行查询,所以我将在我的页面顶部声明主页
require_once("dbcontroller.php");
$db_handle = new DBController();
$sql = "SELECT * from php_interview_questions";
$faq = $db_handle->runQuery($sql);
dbcontroller.php的相关部分是:
function runQuery($query) {
$result = mysqli_query($conn, $query);
while($row=mysqli_fetch_assoc($result)) {
$resultset[] = $row;
}
if(!empty($resultset))
return $resultset;
}
function numRows($query) {
$result = mysqli_query($conn,$query);
$rowcount = mysqli_num_rows($result);
return $rowcount;
}
我认为我需要使用准备好的语句是否正确?如果是这样,这将如何处理可能涉及 WHERE 子句中任意数量的列或任意数量的条件的选择查询?
【问题讨论】:
-
您在那里显示的语句不需要准备好的语句,因为
WHERE子句中没有用户输入。关于你的最后一段:如果你需要添加可变数量的过滤子句,只需使用字符串操作来构建它们,然后在绑定调用中添加正确数量的参数。 -
我只是想知道你为什么认为你需要准备好的陈述?
-
@Patrick 我有点明白他想使用准备好的语句......他实际上运行了一种方法来处理与查询相关的所有事情。这意味着如果他将使用 where 子句,它将与准备好的语句一起使用....
-
@MikeM。当然,为什么要使用准备好的语句的一般原因是显而易见的,我只是想知道 OP 是否理解为什么像 halfer 所说的那样,数据绑定就足够了。似乎没有特定理由使用预准备语句而不是任何其他安全方法