我正在尝试使用PDO而不是MySQLi进行数据库访问,而我在从数据库中选择数据时遇到了麻烦。我想用:
$STH = $DBH->query('SELECT * FROM ratings WHERE title=$title ORDER BY date ASC');
$STH->setFetchMode(PDO::FETCH_ASSOC);
while($row = $STH->fetch()) {
echo $row['title'];
}
但是我收到了这个错误:
致命错误:在a上调用成员函数setFetchMode() 非对象 /home/owencont/public_html/owenstest.com/ratemystudents/index.php 在第6行
如果我取出WHERE语句,它可以正常工作。如何基于其值是否与变量匹配来选择行?
谢谢,
欧文
答案 0 :(得分:2)
这可能是SQL语法错误,因为您忘记引用$title。它最终在查询中作为裸字(也不是作为字符串插入),导致错误。并且您的PDO连接未配置为报告错误。在 - > query()之前的参数上使用 - > quote():
$title = $DBH->quote($title);
$STH = $DBH->query("SELECT * FROM ratings WHERE title=$title ");
或者更好的是,使用参数化SQL:
$STH = $DBH->prepare("SELECT * FROM ratings WHERE title=? ");
$STH->execute(array($title));
答案 1 :(得分:1)
查看PDO::prepare和PDOStatement::execute。向查询添加用户内容的最安全方法是准备基本语句并将参数绑定到该语句。示例(请注意SQL语句中的问号):
$STH = $DBH->query('SELECT * FROM ratings WHERE title=? ORDER BY date ASC');
$STH->execute( array( $title ) );
while( $row = $STH->fetch( PDO::FETCH_ASSOC ) );
答案 2 :(得分:1)
让PDO抛出错误,这样你就可以看到究竟出了什么问题。请参阅How to squeeze error message out of PDO?
您可能会错过$title周围的引号,但这种情况确实需要prepared statements。
答案 3 :(得分:0)
从sql语句中删除变量,因为它是一个php变量
$STH = $DBH->query('SELECT * FROM ratings WHERE title=' . $title . 'ORDER BY date ASC');
答案 4 :(得分:0)
使用双引号而不是单引号作为查询方法的参数。
您收到此错误的原因是查询方法失败,因此未创建$ STH对象。你应该实现一些错误处理。