mysqli函数返回没有值

时间:2014-01-13 22:48:28

标签: php mysql mysqli

好吧,我有一个mysqli函数,用于从数据库中提取用户统计信息。数据库设置为

用户名攻击防御力量
xxxx 10 10 10

我遇到的问题是函数什么也没有返回,页面是空白的。我存储了与数据库存在的连接和会话用户名,因此我可以找出它无法正常工作的原因。

config.php 

 <?php
 $dbhost = 'xxx'; 
 $dbuser = 'xxx';
 $dbpass = 'xxx';
 $dbname = 'xxx';
 $dberror1 = 'could not connect to database';
 $dberror2 = 'could not find selected table';
 ?>

stat.php 

<?php
function getLevel($stat) {
require_once 'includes/config.php';

$mysqli = new mysqli($dbhost, $dbuser, $dbpass, $dbname);

$stmt = $mysqli->prepare("SELECT ? FROM players WHERE username = ?");

if($stmt) {
 $stmt->bind_param('ss', $stat, $_SESSION['username']);
 if($stmt->execute()) {
      $stmt->bind_result($result);
      $stmt->fetch();
       }
  }
  return $result;
  }  

?>

和im用于测试显示函数的文件

<?php
include 'includes/login-check.php';
include 'includes/config.php';
include 'includes/stat.php';

echo getLevel('attack');
?>

1 个答案:

答案 0 :(得分:3)

您不能在预准备语句中绑定表名或列名,只能绑定值。

您必须根据白名单检查$stat值,并将其直接插入sql语句中。

顺便说一下,您可以告诉mysqli抛出异常,这样您就不必手动检查每个数据库调用的返回值。只需在打开数据库连接之前添加它:

mysqli_report(MYSQLI_REPORT_STRICT);
相关问题
最新问题