1. 首页
  2. 问答
  3. PHP的PDO问题与bindValue()

PHP的PDO问题与bindValue()

2012-08-02 77 views
1

我正在写一个类,编程创建一个给定某些列名称的表。我正在使用PDO准备好的语句,这似乎会导致一些问题。PHP的PDO问题与bindValue()

下面是基本过程:

// create a query string to be sent to $pdo->prepare 
$sql = 
'CREATE TEMP TABLE :tmp_table_name (
    :person_id bigint, 
    :encntr_id bigint, 
    :prsnl_id bigint, 
    :program_detail text, 
    :program_name text 
);'; 
$stmt = $pdo->prepare($sql); 

// Bind table name 
$stmt->bindValue(':tmp_table_name', 'tmp_patients', PDO::PARAM_STR); 

// Bind column names 
$columnNames = [ 
    'person_id', 
    'encnt_id', 
    'prsnl_id', 
    'program_detail', 
    'program_name', 
]; 
foreach($columnNames as $name) { 
    $stmt->bindValue(':'.$name, $name, PDO::PARAM_STR); 
} 

$ret = $stmt->execute(); 
// $ret is false! The statement fails.

这里是$stmt->errorInfo()[2]显示:

ERROR: syntax error at or near "$1" 
LINE 1: CREATE TEMP TABLE $1 ($2 bigint, 
$3 bigint, 
$4 bigint, 
$5 text, 
$6 te...

为什么$ 1,$ 2,$ 3等显示在查询呢?你有关于如何进一步调试这个PDO陈述的提示吗?

更新 我尝试了不同的方法,不使用bindParam,只是路过的则params的数组$ stmt->的execute()。我仍然得到同样的错误,但...

$stmt = $this->pdo->prepare($this->createSql); 

$keys = []; 
// Bind column names 
foreach($this->columnNames as $name) { 
    $keys[] = ':'.$name; 
} 
$params = array_combine($keys, $this->columnNames); 

// Bind table name 
$params[':tmp_table_name'] = 'tmp_'.$this->objName; 

$ret = $stmt->execute($params); 
if (!$ret) { 
    throw new Exception('execSchema() failed! '. $stmt->errorInfo()[2]); 
}

来源

2012-08-02 nnyby

+0

为什么bindValue代替bindParam? http://www.php.net/manual/es/pdostatement.bindparam.php – fiunchinho 2012-08-02 19:40:58

+0

@ONe因为bindValue更灵活(我可以使用字符串作为bindValue的值,bindParam需要该值是一个变量。)http:///stackoverflow.com/questions/1179874/pdo-bindparam-versus-bindvalue – nnyby 2012-08-02 19:43:35

+1

请记住,您也可以发送参数来执行($ params)http://www.php.net/manual/es/pdostatement.execute.php – fiunchinho 2012-08-02 20:04:41

回答

5

在我看来,如果你正在试图绑定到表名/列,你不能做使用PDO - 你只能绑定值占位符。

如被看见在你的代码在这里:

// Bind table name 
$stmt->bindValue(':tmp_table_name', 'tmp_patients', PDO::PARAM_STR);

感觉好像它应该工作,但事实并非如此。

例如,这将工作:

$sql = "insert into mytable (:thing1) values (:thing2); 
$stmt->bindValue(':thing1', 'column_name'); // this would not 
$stmt->bindValue(':thing2', 'column_value'); // this would have (on its own)

然而,像这样的工作,这应该毫无顾忌您的解决方案或类似的东西:

// imagine an incoming POST load like this: 
$cols = ['fname','lname']; 

$array_cnt = count($cols); // 2 
$sql = 'INSERT INTO mytable ('.join(',', $cols).') '; 

// and then that number of placeholders used 
$sql .= 'VALUES (' . join(array_fill(0, $array_cnt, '?'), ', ') . ')'; 

echo $sql;

来源

2012-08-02 20:24:11 Cups

+0

感谢您的确切答案。我没有意识到你不能绑定PDO中的表名/列,但我怀疑这一点。以前,我是按照你的建议来做的,但是我担心SQL注入攻击,所以我认为我应该用准备好的语句来做到这一点。 – nnyby 2012-08-02 20:30:36

0

bindParam()bindValue()工作由基准值,这意味着你通过它的$value变量的引用,而不是它的时间价值,你叫它。当循环结束并且您拨打query()时,$value将是$array中的最后一个。

使用参照项目在数组中:

$stmt->bindValue(":".$array[$param], $array[$param]); 
$stmt->bindParam($param, $array[$param]);

来源

2012-08-02 19:42:41

+0

我重写了这样的循环: 'foreach($ columnNames as $ k => $ name){ $ stmt-> bindValue(':'。$ columnNames [$ k],$ columnNames [$ k ]); }' 但我仍然收到同样的错误。 – nnyby 2012-08-02 19:53:48

相关问题

 相关问题