SELECT id, title, posted, duration, thumbnail, email, first_name
FROM customers
【问题讨论】:
这是一个简短的示例(对于 cmets 来说太长了),因为您使用的是 MySQLi:
面向对象的风格:
/* prepare query */
$stmt = $mysqli->prepare("SELECT id, title, posted, duration, thumbnail, email, first_name FROM customers");
/* execute query */
$stmt->execute();
程序风格($conn 是数据库连接):
/* prepare */
$stmt = mysqli_prepare($conn, "SELECT id, title, posted, duration, thumbnail, email, first_name FROM customers");
/* execute query */
mysqli_stmt_execute($stmt);
【讨论】:
prepare() 只是架构的一部分——每个查询都由同一个函数处理。
由于您没有明显的理由准备此语句,即您没有说您想在此脚本中多次运行此查询,并且您没有用于将参数绑定到查询的占位符,您可以像这样简单地使用 mysqli_query()
$sql = 'SELECT id, title, posted, duration, thumbnail, email, first_name
FROM customers';
$result = mysqli_query($con, $sql);
while ( $row = $result->fetch_assoc() ) {
echo $row['id']; // or whatever
}
请记住,您不能将占位符
?用于列名或表名,在此或mysqli_prepare()中,如果这是您最终要解决的问题,正如 @Fred-ii- 所建议的那样
【讨论】:
作为社区 wiki 发布。
没有什么能阻止你使用prepare()(在 MySQLi_ 中),因为它是有效的。
你就是做不到,举几个例子:
SELECT col1, col2, col3 FROM ? SELECT ?,?,? FROM ?SELECT ?,?,? FROM table如果您计划/设想这样做,因为这将构成绑定表/列,这在准备好的语句中是不允许的,就像我们希望它那样工作。
但是,没有什么可以阻止您使用所谓的“安全列表”。
以下是一些参考资料:
【讨论】: