我知道这已被问过1000次,但由于某种原因,我继续在墙上再次敲击我的脑袋..
这有效:
$sql = 'SELECT a.eventCode, a.eventTime, a.teamCode, a.playerCode, b.lastName, b.firstName, b.number, a.xCoord, a.yCoord, a.id ';
$sql = $sql . 'FROM events a, players b ';
$sql = $sql . 'WHERE a.regGUID in ( ' . $regGUID . ' ) and ';
$sql = $sql . 'a.playerCode=b.playerCode and a.gameCode = "' . $game . '" order by a.eventTime desc, a.actionCode asc';
$stmt = $db->prepare($sql);
$results = $stmt->execute();
这不是:
$sql = 'SELECT a.eventCode, a.eventTime, a.teamCode, a.playerCode, b.lastName, b.firstName, b.number, a.xCoord, a.yCoord, a.id ';
$sql = $sql . 'FROM events a, players b ';
$sql = $sql . 'WHERE a.regGUID in ( :regGUID ) and ';
$sql = $sql . 'a.playerCode=b.playerCode and a.gameCode = :game order by a.eventTime desc, a.actionCode asc';
$stmt = $db->prepare($sql);
$stmt->bindValue(':regGUID', $regGUID, PDO::PARAM_STR);
$stmt->bindValue(':game', $game, PDO::PARAM_STR);
$results = $stmt->execute();
我错过了什么?感谢
答案 0 :(得分:5)
问题在于:
$sql = $sql . 'WHERE a.regGUID in ( :regGUID ) and ';
$stmt->bindValue(':regGUID', $regGUID, PDO::PARAM_STR);
我假设$ regGUID是逗号分隔的引用字符串列表。
每个查询参数只接受一个标量值。不是列出值。
所以你有两个选择:
继续插入$ regGUID字符串,即使您使用其他标量值的参数也是如此。但是你仍然要小心避免SQL注入,所以你必须正确地形成$ regGUID字符串。你不能只在整个字符串上调用PDO :: quote(),这将使它成为包含UUID和逗号的单引号字符串。您必须确保每个UUID字符串都被单独转义和引用,然后将列表一起内插并插入到IN子句中。
$regGUIDs = explode(',', $regGUID);
$regGUIDs = array_map(function ($g) { return $db->quote($g); }, $regGUIDs);
$regGUID = implode(',', $regGUIDs);
$sql = $sql . 'WHERE a.regGUID in (' . $regGUID . ') and ';
explode()将$ regGUID放入一个数组中,并为数组中的每个元素添加一个查询参数。插值查询参数占位符的动态列表。
$regGUIDs = explode(',', $regGUID);
$params = array_fill(1, count($regGUIDs), '?');
$sql = $sql . ' WHERE a.regGUID in ( ' . implode(',', $params) . ' ) and ';
你可以在数组的循环中绑定VALal(),但请记住,其他参数也应该按位置绑定,而不是按名称绑定。当您尝试在同一查询中混合使用两种不同类型的参数时,PDO会出现错误,使其不满意。
我只是将一个参数值数组传递给PDOStatement :: execute(),而不是使用bindValue(),这更容易。
$paramValues = $regGUIDs;
$paramValues[] = $game;
$results = $stmt->execute($paramValues);
答案 1 :(得分:2)
这确实被问了1000次。
预准备语句只能接受标量值,而不能接受SQL查询的任意部分。
您必须使用尽可能多的占位符来形成IN()语句,因为您必须放入许多项目,然后逐个绑定它们。
为了简化此任务,可以使用一些辅助函数。
说,使用SafeMysql library这段代码可以写成
$sql = 'SELECT * FROM events a, players b WHERE regGUID in (?a) and';
$sql .= ' a.playerCode=b.playerCode and a.gameCode = ?s';
$sql .= ' order by a.eventTime desc, a.actionCode asc';
$results = $db->getAll($sql,$regGUID,$game);
请注意,$regGUID应该是一个数组,而不是字符串,$results已包含所有请求的数据,无需进一步处理。
答案 2 :(得分:1)
$regGUID的内容是什么?由于您使用的是in子句,我怀疑是以逗号分隔的列表。
将变量绑定到参数不像将该字符串替换为查询;这就像告诉MySQL如何使用您的实际PHP变量。因此,如果将'1,2,3'之类的字符串绑定到查询参数,它将保留为一个字符串,并且不会重新解释为数字列表。
因此,如果$regGUID类似于"'AAA1', 'BBB2'",则您的第一个查询将变为
... WHERE a.regGUID in ( 'AAA1', 'BBB2' ) ...
但你的第二个查询更像是
... WHERE a.regGUID in ( '\'AAA1\', \'BBB2\'' ) ...
与说
相同... WHERE a.regGUID = '\'AAA1\', \'BBB2\'' ...
答案 3 :(得分:1)
正如其他人所说,您只能将单个标量值绑定到占位符。因此,这意味着您实际上需要为IN语句中的每个值设置一个占位符。我通常会做类似以下的事情。应该注意的是,我从不使用bindValue所以如果它有关于必须像Mysqli这样的引用的规则那么下面的内容可能需要修改:
$regGUIDPlaceholders = array();
// prepare the placeholders
// assume regGUID is an array - if its a string then explode on whatever to make it an array
foreach($regGUID as $k => $v) {
$placeholder = ':regGUID' . $k;
$regGUIDPlaceholders[$key] = $value;
}
// prepare the IN statememnt
$in = sprintf('IN (%s)', implode(',', array_keys($regGUIDPlaceholders)));
$sql = 'SELECT a.eventCode, a.eventTime, a.teamCode, a.playerCode, b.lastName, b.firstName, b.number, a.xCoord, a.yCoord, a.id ';
$sql = $sql . 'FROM events a, players b ';
// USE the IN statement dynamically prepared above
$sql = $sql . 'WHERE a.regGUID '. $in . ' and ';
$sql = $sql . 'a.playerCode=b.playerCode and a.gameCode = :game order by a.eventTime desc, a.actionCode asc';
$stmt = $db->prepare($sql);
// bind each GUID to its placeholder
foreach($regGUIDPlaceholders as $placeholder => $value) {
$stmt->bindValue($placeholder, $value, PDO::PARAM_STR);
}
$stmt->bindValue(':game', $game, PDO::PARAM_STR);
$results = $stmt->execute();