我使用了以下功能:
function update_value($table, $field, $value, $type, $where1, $value1, $where2=NULL, $value2=NULL, $where3=NULL, $value3=NULL) {
$rows = array();
global $conn;
connect();
$value1 = "'" . $value1 . "'";
$sql = "UPDATE $table SET $field =? WHERE $where1 = $value1";
$bind1 = "'" . "$type" . "'";
if ($where2 != NULL) {
$value2 = "'" . $value2 . "'";
$sql .= " AND $where2 = $value2";
}
if ($where3 != NULL) {
$value3 = "'" . $value3 . "'";
$sql .= " AND $where3 = $value3";
}
$stmt = $conn->prepare($sql);
$stmt->bind_param($type, $value);
$stmt->execute();
$stmt->close();
$conn->close();
}
...更新表的用户名字段(在通过上述函数更新之前确保它是一个字符串)。我尝试使用字符串后跟下划线进行更新,但当它出现在表格中时,下划线消失了。
我是绑定参数的新手,是否有某些东西被删除?如果是这样,我想知道究竟是什么,所以我可以使用preg_match在更新之前捕获它们并提醒用户。
答案 0 :(得分:0)
使用数据操作的方式非常危险。
但是为了解决一些潜在的问题,保持你的逻辑,你应该用反引号包围所有潜在的表名和列名,并使用mysqli_real_escape_string()准备值:
$val1 = "'" . mysqli_real_escape_string($value1) . "'";
$sql = "UPDATE `$table` SET `$field` = ? WHERE `$where1` = $val1";
if (!empty($where2)) {
$value2 = "'" . mysqli_real_escape_string($value2) . "'";
$sql .= " AND `$where2` = $value2";
}
if (!empty($where3)) {
$value3 = "'" . mysqli_real_escape_string($value3) . "'";
$sql .= " AND `$where3` = $value3";
}