在我的PHP文件,我得到了一个SQL查询看起来像这样:准备SQL查询
if(isset($_GET['id']))
{
$id = $_GET['id'];
$q = "SELECT * FROM `objekt_t` WHERE `id`='" . $id . "'";
$row = mysqli_query($con, $q) or die(mysqli_error($con));
while($r = mysqli_fetch_assoc($row))
{
$objekt = $r;
}
}
我意识到这是关于SQL注入和这样非常不安全的做法,所以我一直在寻找到准备的SQL querys ,使用绑定参数。看着bobby-tables.com我看到这个例子查询:
$stmt = $db->prepare('update people set name = ? where id = ?');
$stmt->bind_param('si',$name,$id);
$stmt->execute();
我不明白,我应该怎么修改我的当前查询匹配使用绑定参数更安全的一个。任何帮助表示赞赏。
我查询的结果是在'$ stmt'还是'$ result'中? –
我刚刚编辑过这篇评论。 $ result变量在脚本执行后包含查询的结果。 – zavg
尝试'var_dump($ result);'给我NULL。为什么是这样? –