我的每日审计交易都有很少的PHP代码。我很容易理解。
$result = mssql_query("BEGIN TRAN");
$result = mssql_query("insert into items_history (select * from items)"); //move transaction to history
$result = mssql_query("delete * from items)"); //clear transaction table for new month transaction
$result = mssql_query( //get the data for used in another script
"select items_history.item_id,
items_history.item_name,
group_items.group_name
from
items_history,group_items
where group_items.id=items_history.id and
day(items_history.date_trans)=day(items_history.date_trans)-1 " // whit where include
);
$result = mssql_query("update trans_control set current_day=current_day+1" }; //update the system date to next day
if (!$result) {
mssql_query("ROLLBACK TRAN");
} else {
mssql_query("COMMIT TRAN");
}
mssql_close();
由于某种原因,这个数据库需要在线存储mysql数据库。 在离线状态下,我对这段代码的安全性并不了解。但在网上,它让我觉得分配安全。 现在我想将此脚本转换为PDO MySql。 目标很简单,更安全:
$result = q("BEGIN");
$result = q("qry1");
$result = q("qry2");
$result = q("qry3");// select with many join table and some parameter data in where like 'string','int', 'date', and maybe with "Union All" in select
$result = q("qry..."};
if (!$result) {
q("ROLLBACK");
} else {
q("COMMIT");
}
如果另一个问题有这样的问题。我很开心,特别是简单的包装,所以我可以学习它是如何工作的。 谢谢你。
答案 0 :(得分:0)
只要您使用绑定参数,安全性就没有问题,请参阅www.php.net/manual/en/pdostatement.bindparam.php和http://www.php.net/manual/en/pdostatement.bindvalue.php
对于您的交易,您可以使用以下方法模拟相同的事情:
http://www.php.net/manual/en/pdo.begintransaction.php代替您的BEGIN TRAN查询, http://www.php.net/manual/en/pdo.commit.php代替COMMIT, http://www.php.net/manual/en/pdo.rollback.php代替ROLLBACK
但如果查询完全是您第一个代码示例中的查询,我看不到任何可能导致安全问题的外部参数