如何在PHP oci8中使用准备好的语句和绑定参数

时间:2019-02-03 06:40:07

标签: php sql database oci8

因此,建议使用准备好的语句和绑定参数来编写sql语句。 Oci8手册没有描述如何使用准备好的语句。

下面是如何将查询的下一行作为对象返回,但这不是最佳实践,因为查询字符串可以包含where col = $PHPvariable

<?php

    $conn = oci_connect('hr', 'welcome', 'localhost/XE');
    if (!$conn) {
        $e = oci_error();
        trigger_error(htmlentities($e['message'], ENT_QUOTES), E_USER_ERROR);
    }

    $select_sql= oci_parse($conn, 'SELECT id, description FROM mytab');
    oci_execute($select_sql);

    while (($row = oci_fetch_object($select_sql)) != false) {
        // Use upper case attribute names for each standard Oracle column
        echo $row->ID . "<br>\n";
        echo $row->DESCRIPTION . "<br>\n"; 
    }

    oci_free_statement($stid);
    oci_close($conn);

    ?>

2 个答案:

答案 0 :(得分:1)

是的,可以对您的sql语句使用oci8参数化查询。

oci_bind_by_name 将PHP变量绑定到Oracle绑定变量占位符bv_name。绑定对于Oracle数据库性能很重要,也是避免SQL注入安全问题的一种方式。

绑定减少了SQL注入问题,因为从未将与绑定变量关联的数据视为SQL语句的一部分。它不需要引号或转义。

了解更多here

 <?php

    $conn = oci_connect("hr", "hrpwd", "localhost/XE");
    if (!$conn) {
        $m = oci_error();
        trigger_error(htmlentities($m['message']), E_USER_ERROR);
    }

    $sql = 'SELECT last_name FROM employees WHERE department_id = :dpid ';

    $stid = oci_parse($conn, $sql);
    $didbv = 60;

    oci_bind_by_name($stid, ':dpid ', $didbv);
    oci_execute($stid);

    while (($row = oci_fetch_object($stid)) != false) {
        echo $row->last_name ."<br>\n";
    }


    oci_free_statement($stid);
    oci_close($conn);

    ?>

答案 1 :(得分:0)

在第14行的:dpid之后删除空格 正确的语法=> oci_bind_by_name($stid, ':dpid', $didbv);