我正在编写自定义更新查询,例如:
$upd = Mage::getSingleton('core/resource')->getConnection('core_write')->query($qry);
但有了这个,我基本上是在编写不安全的普通sql查询。我可以在上面的代码中更改哪些内容,以使用预准备语句?
答案 0 :(得分:4)
如果你想绑定我认为你的意思的参数,你可以像通常使用PDO一样,然后将参数数组作为第二个参数传递给查询方法。
看到这个类似的问题: Using Magento Methods to write Insert Queries with care for SQL Injection