【发布时间】:2014-08-22 17:23:08
【问题描述】:
我正在使用原始文本查询来生成结果。但是为了避免 sql 注入,它希望对传入 userStat() 函数的变量即 $from 和 $to 进行参数化查询。
puclic function userStat($from, $to){
$sql = "select u.user_id as ID, u.email as Email
from User u
where u.type = 'x'
and u.join_date BETWEEN '$from' AND '$to'";
$rawData = Yii::app()->db->createCommand($sql);
return $userData = new CSqlDataProvider($rawData, array(
'keyField'=>'ID',
));
}
现在我想将 $from 和 $to 与文本查询 ($sql) 绑定。
请帮我解决这个问题。
【问题讨论】: