我正在尝试使用PHP中的SQLite3将数据添加到数据库中。我在没有事先准备好的声明的情况下就让它工作了,但现在我正在努力让它更安全。我没有使用PDO。
到目前为止,以下代码不起作用。它只是在数据库中插入单词":name"answers":email",而不是它们的绑定值应该是什么:
$smt = $db->prepare("insert into names (name, email) values (':name', ':email')");
$smt->bindValue(':name', $var_name);
$smt->bindValue(':email', $var_email);
$var_name = ($_POST[post_name]);
$var_email = ($_POST[post_email]);
$smt->execute();
所以我一开始认为这是因为在准备好的语句中,:name和:email周围有单引号。所以我把它们拿了出来。现在,当我发布表单时,它只是将空白条目放入数据库,而不插入$var_name和$var_email 的值
语句正在执行,我认为它只是没有正确绑定变量。我做错了什么?
您设法混淆了绑定函数。
如果尚未分配变量,则必须使用bindParam
而bindValue只能与现有值一起使用。
此外,您应该打开错误报告
您不需要中间变量,必须这样做:
$smt = $db->prepare("insert into names (name, email) values (':name', ':email')");
$smt->bindValue(':name', $_POST['post_name'], SQLITE3_TEXT);
$smt->bindValue(':email', $_POST['post_email'], SQLITE3_TEXT);
$smt->execute();
如SQLite3Stmt::bindValue()中所述,值立即绑定,而不是像SQLite3Stmt::bindParam()那样在execute()时间获得变量的值。所以问题是,当语句被执行时,变量是空的。
记住:
- 变量赋值不需要添加括号:$a=($b);->$a=b美元
- 您必须引用变量键名称。否则,PHP将尝试查找具有此名称的常量,如果它不存在,将抛出警告。。。但如果存在,将分配错误的键值!!
$_POST[post_name]->$_POST['post_name']