Question

我正在尝试更安全并开始使用PDO和预处理语句。这已被推荐给我，我已经阅读了这两个网站： http://net.tutsplus.com/tutorials/php/why-you-should-be-using-phps-pdo-for-database-access/ 和 http://webdevrefinery.com/forums/topic/1272-your-mysql-code-sucks

我碰到了一堵砖墙，我无法理解为什么以下不起作用。我试图插入一行（记录404错误）。我已经阅读了有关命名和未命名的占位符，我认为命名的占位符方法将更容易维护。我也尝试过第一次使用“try”和“catch”。所有这些对我来说都是全新的，所以请善待！我没有得到任何错误，但代码没有更新数据库 - 我得到零行返回。

以下是代码：

$referer = $_SERVER['HTTP_REFERER'];
$domainName = "http://domain.com";
$_dtNow = date("d-m-Y H:i:s");
$_referer = $domainName.$_SERVER['REQUEST_URI'];
$_thisPage = $domainName.$url;
$_ip = $_SERVER['REMOTE_ADDR'];
$_host = $_SERVER['REMOTE_HOST'];
if(isset($_SERVER['HTTP_USER_AGENT'])) {$_ua = $_SERVER['HTTP_USER_AGENT'];} else {$_ua = "unset";}

$host =     'localhost';
$port =     3306; // This is the default port for MySQL
$database = 'databaseName';
$username = 'username';
$password = 'password';
  // Construct the DSN, or "Data Source Name".  Really, it's just a fancy name
  // for a string that says what type of server we're connecting to, and how
  // to connect to it.  As long as the above is filled out, this line is all
  // you need :)
  $dsn = "mysql:host=$host;port=$port;dbname=$database";

try {
  // Connect!
  $db = new PDO($dsn, $username, $password);  
  $data = array( 
                'dateTime' =>   $_dtNow, 
                'referer' =>    $_referer, 
                'page' =>       $_thisPage,
                'ip' =>         $_ip,
                'host' =>       $_host,
                'ua' =>         $_ua
                );  
  $statement = $db->prepare("INSERT INTO 404s (dateTime, referer, page, ip, host, ua) value (:dateTime, :referer, :page, :ip, :host, :ua)");
  $statement->execute($data);
}
catch(PDOException $e) {  
    echo $e->getMessage();  
}  



?>

Answer 1

您确定表名是404s，它听起来像是一个不正确的标识符。

 INSERT INTO 404s (dateTime, referer, page, ip, host, ua) value (:dateTime, :referer, :page, :ip, :host, :ua)

尝试：

 INSERT INTO `404s` (dateTime, referer, page, ip, host, ua) value (:dateTime, :referer, :page, :ip, :host, :ua)

在`404s`

周围使用反引号

注意请记住构造如：

create table `404` ( `33` integer);

有效。

当你构建复杂的请求时，使用`对于避免某些痛苦的SQL错误非常有用，特别是当你从内省算法格式化请求时。

与表格一样，列和数据库必须受到保护。

Answer 2

除了@Dave Kiss之外，SQL语句在'value'处有一个小错字。它应该是'VALUES'。

INSERT INTO 404s (dateTime, referer, page, ip, host, ua) VALUES (:dateTime, :referer, :page, :ip, :host, :ua)

也许就是这样。

BTW：在标识符中使用前导数字（比如你的表名404s）是不好的风格。你可以使用它们，但你必须在反引号中使用表名：

INSERT INTO `404s` (dateTime, referer, page, ip, host, ua) VALUES (:dateTime, :referer, :page, :ip, :host, :ua)

资源：

Answer 3

尝试将冒号添加到数据数组中的键。

/* Execute a prepared statement by passing an array of insert values */

  $data = array( 
                ':dateTime' =>   $_dtNow, 
                ':referer' =>    $_referer, 
                ':page' =>       $_thisPage,
                ':ip' =>         $_ip,
                ':host' =>       $_host,
                ':ua' =>         $_ua
                );  
  $statement = $db->prepare("INSERT INTO 404s (dateTime, referer, page, ip, host, ua) value (:dateTime, :referer, :page, :ip, :host, :ua)");
  $statement->execute($data);

新手问题：PDO和MYSQL INSERT查询问题

3 个答案: