我有一个个人资料页面,我编码了现在已弃用的PHP代码。切换到PDO并随时学习。我一直遇到这个问题,我的日期字段不会存储在数据库中。我发现一个解决方案解决了这个问题(将 mysql_real_escape_string 添加到日期变量中)但是我被告知这不是PDO。
我的代码是对的吗?这是格式化表单提交选项的安全有效方法吗?
//----------
//--My Submit Statement
//----------
<?php if (isset($_POST['submit'])) {
$user_id = ( $_POST["user_id"] );
$length = ( $_POST["length"] );
$ground = ( $_POST["ground"] );
$date = mysql_real_escape_string( $_POST["date"]);
$query = "INSERT INTO admin (user_id,`length`,`ground`,`date`) VALUES $user_id,$length,$ground,'".mysql_real_escape_string($date)."')";
$q = $pdo->prepare($query);
$q->execute(array('user_id'=>$user_id,':length'=>$length,':ground'=>$ground,':date'=>$date));
}
?>
日期是用户指定的。
//----------
//--My Call Statement
//----------
<?php
$query = "SELECT * FROM admin WHERE user_id = '$userid'";
$q = $pdo->query($query);
while ($row = $q->fetch()){
?>
//Edited out beginning of table
<tr>
<td><?php echo $row['date']; ?> </td>
<td><?php echo $row['length']; ?><?php if ($selected == 'metric') { echo "cm"; } else { echo "in"; } ?>
</td>
<td><?php echo $row['ground']; ?><?php if ($selected == 'metric') { echo "cm"; } else { echo "in"; } ?>
//Edited out bottom of table
答案 0 :(得分:1)
PDO(和MySQLi)带来准备好的语句和参数绑定,它们远优于查询字符串连接(这就是你正在使用的,类似的)。
您似乎是通过调用PDOStatement::execute来尝试参数绑定,但是您已经在查询字符串中注入了值,并且没有参数占位符。
以下是使用占位符的示例
$query = 'INSERT INTO admin (user_id,`length`,`ground`,`date`) VALUES (:user_id, :length, :ground, :date)';
$stmt = $pdo->prepare($query);
$stmt->execute(array(
':user_id' => $_POST['user_id'],
':length' => $_POST['length'],
':ground' => $_POST['ground'],
':date' => $_POST['date']
));
您还可以使用PDOStatement::execute单独绑定参数(而不是PDOStatement::bindParam),例如
$stmt->bindParam(':user_id', $_POST['user_id']);
$stmt->bindParam(':length', $_POST['length']);
// etc
$stmt->execute();
如果你感兴趣的话(你应该这样做),有很多关于准备好的参数化语句的信息。这将是一个良好的开端
您需要在SELECT查询中执行相同操作,例如
$stmt = $pdo->prepare('SELECT * FROM admin WHERE user_id = :user_id');
$stmt->bindParam(':user_id', $user_id);
$stmt->execute();
while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {