Question

这是我第一次使用Mysqli，现在我已经坚持了这个问题大约一个小时。我收到此错误

mysqli_stmt::bind_param(): Number of variables doesn't match number of parameters 
in prepared statement in C:\wamp\www\WebContent\success.php on line 30

我已经计算了准备语句中问题标记的10倍，并且有21个，然后我计算了bind_param中的s和变量，也有21个。我是Mysqli的新手，我想知道我是否能得到关于如何处理和调试此问题的任何建议，谢谢你的帮助

<?php   


$mysqli = new mysqli("localhost", "root","","test");
if (mysqli_connect_errno())
 {
    printf("Connect failed: %s\n", mysqli_connect_error());
    exit();
 }


    $i=0;

 if ($stmt = $mysqli->prepare("UPDATE `table` SET `Lan_ID` = '?', `Switching` = '?',
   `Own` = '?',`Division` = '?',`Switch_Number` = '?',
   `Telecom_Circuit_number` = '?', `Transmitter_Frequency` = '?',
   `Receiver_Frequency` = '?', `Band_width` = '?', `Channel` = '?', 
   `Equipment` = '?', `Power` = '?', 
   `Line_designation` = '?', `Voltage` = '?', `Phase` = '?',
   `Modulate` = '?', `Terms` = '?', `Trap` = '?',
   `Ltunner` = '?', `Link` = '?', 
   `Comment` = '?' ". $_GET['where'.$i] ))
    {
        $stmt->bind_param('sssssssssssssssssssss', $_GET[$i.'LanID'],$_GET[$i.'Switching'],
        $_GET[$i.'Own'], $_GET[$i.'Division'], $_GET[$i.'Switch_Number'], $_GET[$i.'Telecom_Circuit_number'],
        $_GET[$i.'Trasmitter_frq'], $_GET[$i.'Receiver_frq'], $_GET[$i.'Band_width'], $_GET[$i.'Channel'],
        $_GET[$i.'Equipment'], $_GET[$i.'Power'], $_GET[$i.'Line_designation'],$_GET[$i.'Voltage'],
        $_GET[$i.'Phase'],$_GET[$i.'Modulate'],$_GET[$i.'Terms'], $_GET[$i.'Trap'],$_GET[$i.'Ltunner'],
        $_GET[$i.'Link'], $_GET[$i.'Comment'] );//this is line 30 btw


    }
    else 
    {
        printf("Prepared Statement Error: %s\n", $mysqli->error);

    }
    $stmt->close();
 ?>

Answer 1

不要将参数占位符放在引号内。

但这只是你问题的开始。通过在查询中插入$_GET['where'.$i]，您可以自己开启SQL注入攻击。你完全错过了安全编程的重点。

您不得从HTTP请求中逐字记录WHERE子句或任何表达式，并将其复制到SQL字符串中。但是您不能对SQL表达式使用查询参数，只能使用参数代替单个标量值。

sqli错误与prepare语句

1 个答案: