我正在尝试实现动态SQL查询,以便用户可以灵活地使用一个或多个过滤器来挖掘他想要的数据。我正在使用预准备语句来确保没有SQL注入。我正在使用WAMP Server 64位。 我在撰写代码时提到了这篇文章:Sample
以下是我的代码:
$myqry="SELECT * FROM students WHERE ";
$initflag=0; //controls the first clause without AND and rest with AND
$paramtypes=array();
$paramvalues=array();
$params=array();
if(!empty($_POST['awr_admyear']))
{
$myqry.= "YEAR(adm_date)=? ";
$initflag=1;
$paramtypes[]='s';
$paramvalues[]=$_POST['awr_admyear'];
}
if(!empty($_POST['awr_admfrom']) && !empty($_POST['awr_admto']))
{
if($initflag==0)
$myqry.= "YEAR(adm_date) BETWEEN ? AND ? ";
else
$myqry.= "AND YEAR(adm_date) BETWEEN ? AND ? ";
$initflag=1;
$paramtype[]='s';
$paramtype[]='s';
$paramvalues[]=$_POST['awr_admfrom'];
$paramvalues[]=$_POST['awr_admto'];
}
if(!empty($_POST['awradm_no']))
{
if($initflag==0)
$myqry.= "adm_no LIKE ? ";
else
$myqry.= "AND adm_no LIKE ? ";
$initflag=1;
$paramtype[]='s';
$paramvalues[]=$_POST['awradm_no'];
}
$params = array_merge($paramtype,$paramvalues);
if(isset($myqry) && !(empty($myqry)))
{
if($result1 = $mysqli->prepare($myqry))
{
call_user_func_array(array($result1, 'bind_param'), $params);
if($result1->execute())
{
$finrest=$result1->get_result();
while($row= $finrest->fetch_assoc())
{
//and so on
我收到以下错误:
Warning: Parameter 2 to mysqli_stmt::bind_param() expected to be a reference, value given in..................
我哪里出错了,解决方案是什么?
答案 0 :(得分:1)
1)按照这里提到的答案:mysqli bind_param() expected to be a reference, value given
2)进行以下更改:
$params = array_merge($paramtype,$paramvalues);
将其替换为:
$params[] = implode("", $paramtype);
$params = array_merge($params, $paramvalues);
$ paramtype是数组,但bind_param需要第一个参数应该是string。