我在一个用于验证用户凭据的类中有一个方法verifyCredentials。我正在重写它以使用PHP的PDO而不是DBMS相关的mysqli语句。我在将参数绑定到我准备好的查询时遇到了麻烦。
PDO总是抛出警告
警告:PDOStatement :: execute():SQLSTATE [HY093]:参数号无效:绑定变量的数量与[file]上的[file]中的令牌数量不匹配
我显然在这里遗漏了一些东西,但我无法弄清楚我的生活是什么。
代码片段,除DBH和STH之外的所有内容都由外部constants.php文件定义:
class FancyClass{
function __construct(){
try{
$this->DBH=
new PDO(PDO_DRIVER.':host='.DB_HOST.';dbname='.DB_DB,
DB_USER, DB_PWD);
}
catch(PDOException $e){
return $e->getMessage();
}
$this->queryGetPwdForUser="select :userIdCol , :pwdCol from :usersTable where :aliasCol = ':alias' limit 1"
}
function __destruct(){
$this->DBH=null;
}
function verifyCredentials($alias,$pwd){
$STH=$this->DBH->prepare($this->queryGetPwdForUser);
$STH->bindParam(':userIdCol',$userIdCol);
$STH->bindParam(':pwdCol',$pwdCol);
$STH->bindParam(':usersTable',$usersTable);
$STH->bindParam(':aliasCol',$aliasCol);
$STH->bindParam(':alias',$alias);
$userIdCol=DB_COLUMN_USERID;
$pwdCol=DB_COLUMN_USERPWD;
$usersTable=DB_TABLE_USERS;
$aliasCol=DB_COLUMN_USERALIAS;
$STH->execute();
$result=$STH->fetch();
if($result==false) return false;
$hasher = new PasswordHash(50,false);
if($hasher->CheckPassword($pwd,$result[DB_COLUMN_USERPWD]))
return $result[DB_COLUMN_USERID];
else
return false;
}
}
答案 0 :(得分:0)
为了澄清需要做什么,即使修复之前建议的':alias'引号,MySQL关键字(如SELECT,INSERT),表名和列名也不能使用预处理语句通过占位符绑定。为了动态创建MySQL查询,您必须以其他方式替换这些值。
我注意到你已经预先定义了SQL查询,所以使用像str_replace这样的东西,或者定义一个可以用这样的值替换这些占位符的通用方法:
$sql = str_replace(array(
':userIdCol',
':pwdCol',
':usersTable',
':aliasCol'
), array(
$userIdCol,
$pwdCol,
$usersTable,
$aliasCol
), $this->queryGetPwdForUser);
显然,本案例中准备好的陈述的方法
$STH=$this->DBH->prepare($sql);
$STH->bindParam(':alias',$alias);