sql >> Databáze >  >> RDS >> Mysql

Jak vytvořit bezpečný příkaz připravený mysql v php?

Zde je příklad použití mysqli (objektová syntaxe – poměrně snadno se převede na syntaxi funkce, pokud si přejete):

$db = new mysqli("host","user","pw","database");
$stmt = $db->prepare("SELECT * FROM mytable where userid=? AND category=? ORDER BY id DESC");
$stmt->bind_param('ii', intval($_GET['userid']), intval($_GET['category']));
$stmt->execute();

$stmt->store_result();
$stmt->bind_result($column1, $column2, $column3);

while($stmt->fetch())
{
    echo "col1=$column1, col2=$column2, col3=$column3 \n";
}

$stmt->close();

Také, pokud chcete snadný způsob, jak uchopit asociativní pole (pro použití s ​​SELECT *) místo toho, abyste museli přesně specifikovat, na jaké proměnné se mají vázat, zde je užitečná funkce:

function stmt_bind_assoc (&$stmt, &$out) {
    $data = mysqli_stmt_result_metadata($stmt);
    $fields = array();
    $out = array();

    $fields[0] = $stmt;
    $count = 1;

    while($field = mysqli_fetch_field($data)) {
        $fields[$count] = &$out[$field->name];
        $count++;
    }
    call_user_func_array(mysqli_stmt_bind_result, $fields);
}

Chcete-li jej použít, stačí jej vyvolat namísto volání bind_result:

$stmt->store_result();

$resultrow = array();
stmt_bind_assoc($stmt, $resultrow);

while($stmt->fetch())
{
    print_r($resultrow);
}


  1. MariaDB CURRENT_DATE() Vysvětleno

  2. 5 způsobů, jak opravit chybu „Divide by zero“ v SQL Server (Msg 8134)

  3. Jak zobrazit datum v německém formátu na serveru SQL (T-SQL)

  4. Jak najít první tři nejvyšší platy v tabulce zaměstnanců v oracle?