我的代码是这样的:
$sql = "INSERT INTO oraculo VALUES(".$name.$pass.")";
pg_query($dbconn, $sql);
在java中我使用PreparedStament插入没有连接字符串的值(以避免sql注入,如果我正确)。可以在PHP中做这样的事情吗?我想做这样的事情:
$sql = "INSERT INTO oraculo VALUES(?, ?)";
//set the value of first '?'
setValue(1, "somename");
//set the value of second '?'
setValue(2, "somepass");
pg_query($dbconn, $sql);
答案 0 :(得分:0)
您可以使用pg_prepare在PHP中执行postgres的预准备语句。
所以你的代码看起来像是:
pg_prepare($dbconn, "login", 'SELECT * FROM shops WHERE name = $1');
$rs = pg_execute($dbconn, "login", array("somename", "somepass"));