单引号可防止bindValue替换占位符标记
当我使用bindValue准备语句时,如果占位符标记被单引号括起来,则不会替换它。这是有问题的,因为在SQL字符串中用单引号括起来以避免关键字冲突。 一旦插入数据库内容的屏幕,请查看我的附件,一次没有单引号。 我已经报告了bug,但同时我不确定这不仅仅是编码问题。使用单引号是否正确,即这应该是否真的是一个错误?
quoutes
没有quoutes
1 个答案:
答案 0 :(得分:2)
这不是一个错误。只是不要使用单引号。 bindValue机制不只是用你的语句中的字符串替换你的:path。没有姓名冲突的风险。将其视为某种不同的命名空间。 :-)
http://en.wikipedia.org/wiki/Prepared_statement:准备语句通常通过非SQL二进制协议执行,以提高效率并防止SQL注入,但是一些DBMS(如MySQL)也可以使用SQL语法进行调试。
http://en.wikipedia.org/wiki/SQL_injection#Parameterized_statements:对于大多数开发平台,可以使用与参数一起使用的参数化语句(有时称为占位符或绑定变量),而不是在语句中嵌入用户输入。 占位符只能存储给定类型的值,而不能存储任意SQL片段。因此,SQL注入只会被视为一个奇怪的(可能是无效的)参数值。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?