我正在尝试在我的代码中使用我的 php 运行我的 sql 查询,但我无法让它运行。
这是我的查询:
$sql = ee()->db->query("update exp_store_orders set shipping_company = '<a href='$png_code'>ciao</a>' where id = '$order->id'");
不要关注第一部分,这是表达式引擎。
问题是我试图在其中放入一个变量,但它不起作用。使用双引号会破坏我的代码,而使用单引号则不起作用..
有什么建议吗?
【问题讨论】:
您需要大括号 ({...}) 或字符串连接如果您打算这样做。 (你绝对不应该不这样做,如下所述。)
例子:
$sql = ee()->db->query("update exp_store_orders set shipping_company = \"<a href='$png_code'>ciao</a>\" where id = '{$order->id}'");
// or
$sql = ee()->db->query("update exp_store_orders set shipping_company = \"<a href='$png_code'>ciao</a>\" where id = '" . $order->id . "'");
但是这不是正确的做法。您应该使用准备好的语句,而不是将数据直接连接到您的查询中。以您的方式进行操作会使您对 SQL 注入持开放态度。理论上,您可以完全控制$order->id,并且 100% 确定它是安全的。在实践中,你没有,你也不是。
另外,如果$order->id 是一个数字,则不应将其放在单引号中。但这并不重要,因为您应该在此处使用占位符,而不是串联值。
还有一件事:注意上面"s 的转义,如\"。您不能设置像shipping_company = '<a href='$png_code'>ciao</a>' 这样的值,因为数据库认为字符串在href= 之后结束;当您以这种方式构建字符串时,它不知道如何处理 's 之外的任何内容。
【讨论】:
ee()->db->query("UPDATE exp_store_orders SET shipping_company = ? WHERE id = ?", array('ciao', $order->id)); 或者如果您愿意,您的第一个值可以是 HTML,因此您可以输入 'ciao' 而不是 '<a href='.$png_code.'>ciao</a>'跨度>
$order->id 设置为1' or 1=1 -- 之类的东西(作为温和 示例),您将被黑。
'<a href="'.$png_code.'">ciao</a>' (单引号和 . 在 PHP 中创建一个字符串,而双引号是生成的字符串的一部分,用于定义href 值,所以你最终会得到类似<a href="image.png">ciao</a> 而不是<a href=image.png>ciao</a>