【问题标题】:.NET's SqlParameters in PHPPHP 中的 .NET Sql 参数
【发布时间】:2011-10-23 16:53:26
【问题描述】:

PHP中.NET的Command.SqlParameters.AddWithValue()对应的是什么?我想避免 SQL 注入,我只是想知道 PHP 除了通过mysql_real_escape() 转义字符串之外是否已经有相同的方法。

提前致谢!

【问题讨论】:

    标签: php sql-injection parameter-passing


    【解决方案1】:

    PDOprepare()方法和PDOStatement::bindParam()PDOStatement::bindValue()

    两者的区别在于bindParam()绑定了一个变量的引用。变量值可以更改而无需重新绑定参数。这在循环中特别有用。

    bindValue() 只是将静态值绑定到参数。

    【讨论】:

    • 哇! PDO 还具有事务、提交和回滚,这超出了我的需要。谢谢!顺便说一句,我不同意在每次循环迭代中执行查询。呵呵。
    • @domanokz 这很方便知道。一些数据库在插入语句中只允许一组值。如果您有要插入的数组或条目集合,那么将一次绑定到变量并在循环时执行插入是很好和干净的
    猜你喜欢
    • 2012-11-23
    • 2010-09-27
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2011-01-04
    • 2011-11-18
    相关资源
    最近更新 更多