0
我知道你不能使用“字符,试图`来代替,而没有工作,任何想法PHP PDO MySQL的预处理语句有多个值
$sql = $db->prepare('INSERT INTO testDB VALUES(`$title`,`$bodytext`,`$created`)');
A
回答
3
试试这个:
$sql = $db->prepare('INSERT INTO testDB VALUES(?, ?, ?)');
$sql->execute(array($title, $bodytext, $created));
我所做的是从SQL查询中移除变量与?作为占位符代替它们。你只在执行时绑定值的语句。
你试图做的方法它与使用常规SQL查询没有区别。
+0
工程,但我的网页漏洞扫描仪仍然可以破解该网站:( – user576820 2012-04-08 09:07:52
+0
Nvm,原来的代码一次只显示3行,扫描仪并没有实际覆盖旧数据,所以一切都很好。谢谢你的帮助! – user576820 2012-04-08 10:23:01
相关问题
- 1. 使用多个PDO预处理语句
- 2. PHP多个预处理语句
- 3. PHP MySQL的REGEXP预处理语句
- 4. PDO预处理语句问题
- 5. PDO预处理语句 - 跨页
- 6. 多个预处理语句的问题
- 7. 多个预处理语句(SELECT)
- 8. PHP MYSQL错误处理 - 预处理语句
- 9. PHP PDO预处理语句与凡在第
- 10. PHP PDO INSERT与预处理语句不兼容
- 11. 如果将使用PHP PDO预处理语句
- 12. PHP/MYSQL - 使用预处理语句删除数据库
- 13. 如何使用IN子句使用PDO预处理语句?
- 14. 语法错误与PDO预处理语句
- 15. PHP和mysqli:使用预处理语句选择多个条件
- 16. 在子句中的PHP没有为预处理语句工作
- 17. mysqli_fetch_array(),预处理语句和LIKE语句
- 18. 预处理语句与
- 19. PHP SQLSRV与预处理语句
- 20. 在CASE语句中处理多个值?
- 21. 运行多个PDO语句
- 22. 使用PDO预处理语句的最佳方法是什么?
- 23. 检查预处理语句PDO的结果?
- 24. pg_prepare()预处理语句(不是PDO)是否阻止SQL注入?
- 25. PHP MYSQL if语句上的PDO结果
- 26. 我如何输出MySQL表在PHP预处理语句
- 27. 如何在mysql中打印预处理语句php
- 28. Testrun预处理器语句
- 29. 预处理语句执行
- 30. PHP - PDO:MySQL的记录预处理语句包括PS数据
反引号用于转义保留字。你需要定期的单引号。而且,由于您使用的是准备好的语句,因此不应该直接插入类似这样的值。如果您没有正确使用它们,世界上所有准备好的语句都不会为您节省SQL注入攻击。 – 2012-04-07 21:29:33