我真的需要bindParam吗?

时间:2010-03-18 05:00:03

标签: php pdo crud

我正在尝试做一些PDO CRUD来学习一些PDO。我有关于bindParam的问题。这是我现在的更新方法:

public static function update($conditions = array(), $data = array(), $table = '')
{
    self::instance();

    // Late static bindings (PHP 5.3)
    $table = ($table === '') ? self::table() : $table;

    // Check which data array we want to use
    $values  = (empty($data)) ? self::$_fields : $data;

    $sql     = "UPDATE $table SET ";
    foreach ($values as $f => $v)
    {
        $sql .= "$f = ?, ";
    }

    // let's build the conditions
    self::build_conditions($conditions);

    // fix our WHERE, AND, OR, LIKE conditions
    $extra = self::$condition_string;

    // querystring
    $sql   = rtrim($sql, ', ') . $extra;

    // let's merge the arrays into on
    $v_val = array_values($values);
    $c_val = array_values($conditions);
    $array = array_merge($v_val, self::$condition_array);

    $stmt  = self::$db->prepare($sql);
    return $stmt->execute($array);
} 

在我的“self :: $ condition_array”中,我从?获得了所有正确的值。所以查询看起来像这样:

UPDATE table SET this = ?, another = ? WHERE title = ? AND time = ?

你可以看到我不使用bindParams而是将正确的值($ array)中的正确值直接传递给execute($ array)方法。这就像一个魅力但是这样安全不使用bindParam吗?

如果没有,那我该怎么办呢?

感谢瑞典

托拜厄斯

1 个答案:

答案 0 :(得分:2)

是的,这是安全的。 bindParam()将参数与变量相关联,当您希望在调用execute()时使用变量值时使用它。否则你正在做的事情很好。

PDO bindParam()

上的PHP文档