SQLite中的日期比较

Question

如何在表中声明日期数据类型？它是简单的以下？

CREATE TABLE sampleDB (..., sampledate DATE, ...) 

现在，如果我想用通过POST形式;从查询：

<?php 
    $formdate = $_POST["inputname"]; 

    if($formdate) { 
     echo "Searching using query: ".$formdate."<br>"; 
     $db = new SQLiteDatabase("testDB.db"); 
     $query = $db->query("SELECT * FROM sampleDB WHERE sampledate = ".$formdate); 
     while($entry = $query->fetch(SQLITE_ASSOC)) { 
      echo "result: " ... "<br>"; 
     } 
    } 
?> 

这似乎并没有工作。它不会返回我想要的条目。

当我将日期作为字符串存储并比较字符串时，一切正常，但如果SQLite有DATE数据类型，我认为应该有方法使用它！

Answer 1

您发布的代码存在漏洞，似乎可以让任何用户轻松注入任意SQL命令。解决这个问题的两种常见方法是（1）消毒输入和（2）使用将命令与（可能不可信的）参数分开的API。对于（1）我会在PHP文档中寻找特定于SQL的转义函数。 （2）的一个众所周知的例子是Perl的DBI。 （我不知道PHP是否有类似的库。）

在SQLite中，没有日期或时间类型。如果数据库中已经有日期字符串，则必须确保它们的格式一致。来自SQLite手册的Date and Time Functions列出了一些可能对您的查询有用的函数。