因此,建议使用准备好的语句和绑定参数来编写sql语句。 Oci8手册没有描述如何使用准备好的语句。
下面是如何将查询的下一行作为对象返回,但这不是最佳实践,因为查询字符串可以包含where col = $PHPvariable
<?php
$conn = oci_connect('hr', 'welcome', 'localhost/XE');
if (!$conn) {
$e = oci_error();
trigger_error(htmlentities($e['message'], ENT_QUOTES), E_USER_ERROR);
}
$select_sql= oci_parse($conn, 'SELECT id, description FROM mytab');
oci_execute($select_sql);
while (($row = oci_fetch_object($select_sql)) != false) {
// Use upper case attribute names for each standard Oracle column
echo $row->ID . "<br>\n";
echo $row->DESCRIPTION . "<br>\n";
}
oci_free_statement($stid);
oci_close($conn);
?>
答案 0 :(得分:1)
是的,可以对您的sql语句使用oci8参数化查询。
oci_bind_by_name 将PHP变量绑定到Oracle绑定变量占位符bv_name。绑定对于Oracle数据库性能很重要,也是避免SQL注入安全问题的一种方式。
绑定减少了SQL注入问题,因为从未将与绑定变量关联的数据视为SQL语句的一部分。它不需要引号或转义。
了解更多here。
<?php
$conn = oci_connect("hr", "hrpwd", "localhost/XE");
if (!$conn) {
$m = oci_error();
trigger_error(htmlentities($m['message']), E_USER_ERROR);
}
$sql = 'SELECT last_name FROM employees WHERE department_id = :dpid ';
$stid = oci_parse($conn, $sql);
$didbv = 60;
oci_bind_by_name($stid, ':dpid ', $didbv);
oci_execute($stid);
while (($row = oci_fetch_object($stid)) != false) {
echo $row->last_name ."<br>\n";
}
oci_free_statement($stid);
oci_close($conn);
?>
答案 1 :(得分:0)
在第14行的:dpid之后删除空格
正确的语法=> oci_bind_by_name($stid, ':dpid', $didbv);