0
我很新的PDO,我写这个code.But这个代码是不安全的。PDO。如何使用此功能?
function update_user($update_data) {
global $pdo;
$update = array();
foreach($update_data as $field=>$data){
$update[] = '`'. $field.'` = \''. $data.'\'';
}
$query = $pdo->prepare("UPDATE users SET " . implode(', ', $update) ."WHERE user_id = " .$_SESSION['user_id']);
$query->execute();
}
我问了互联网这个代码,并成为这个:
function update_user($update_data) {
global $pdo;
$sql = "UPDATE users SET ".pdoSet($update_data,$values)." WHERE id = :id";
$stm = $pdo->prepare($sql);
$values["id"] = $_SESSION['user_id'];
$stm->execute($values);
}
但是,我不知道我必须在功能pdoSet写。对不起,我的英语不太好。
我发现这个职位可能有助于http://stackoverflow.com/questions/5684191/pdo-bindparam-into-one-statement – 2013-03-03 16:03:35
它应该是'$值[ “:ID”]' – hjpotter92 2013-03-03 16:04:47
@DreamEater没有它没关系 – PeeHaa 2013-03-03 16:10:42