我有一个配置文件页面,我用现在不推荐使用的php代码编码。 切换到PDO并边走边学。我一直遇到这个问题,我的日期字段不会存储在数据库中。 我找到了一个解决方案可以解决问题(将mysql_real_escape_string添加到日期变量中),但是我被告知这不是PDO。
我的代码正确吗? 这是格式化表单提交选项的安全有效方法吗?
//----------
//--My Submit Statement
//----------
<?php if (isset($_POST['submit'])) {
$user_id = ( $_POST["user_id"] );
$length = ( $_POST["length"] );
$ground = ( $_POST["ground"] );
$date = mysql_real_escape_string( $_POST["date"]);
$query = "INSERT INTO admin (user_id,`length`,`ground`,`date`) VALUES $user_id,$length,$ground,'".mysql_real_escape_string($date)."')";
$q = $pdo->prepare($query);
$q->execute(array('user_id'=>$user_id,':length'=>$length,':ground'=>$ground,':date'=>$date));
}
?>
日期是用户指定的。
//----------
//--My Call Statement
//----------
<?php
$query = "SELECT * FROM admin WHERE user_id = '$userid'";
$q = $pdo->query($query);
while ($row = $q->fetch()){
?>
//Edited out beginning of table
<tr>
<td><?php echo $row['date']; ?> </td>
<td><?php echo $row['length']; ?><?php if ($selected == 'metric') { echo "cm"; } else { echo "in"; } ?>
</td>
<td><?php echo $row['ground']; ?><?php if ($selected == 'metric') { echo "cm"; } else { echo "in"; } ?>
//Edited out bottom of table
PDO(和MySQLi)带来了预准备语句和参数绑定,这远远优于查询字符串连接(这就是你正在使用的,有点)。
您似乎正在尝试通过调用PDOStatement::execute进行参数绑定,但您已将值注入查询字符串,并且没有参数占位符。
下面是使用占位符的示例
$query = 'INSERT INTO admin (user_id,`length`,`ground`,`date`) VALUES (:user_id, :length, :ground, :date)';
$stmt = $pdo->prepare($query);
$stmt->execute(array(
':user_id' => $_POST['user_id'],
':length' => $_POST['length'],
':ground' => $_POST['ground'],
':date' => $_POST['date']
));
您也可以使用 PDOStatement::bindParam 单独绑定参数(而不是在 PDOStatement::execute 中),例如
$stmt->bindParam(':user_id', $_POST['user_id']);
$stmt->bindParam(':length', $_POST['length']);
// etc
$stmt->execute();
如果您有兴趣(您应该感兴趣),有很多关于准备好的参数化语句的信息。这些将是一个良好的开端
- 给我
- 参数化的SQL,或者给我死亡
- 准备好的发言稿
更新
您需要在SELECT查询中执行相同的操作,例如
$stmt = $pdo->prepare('SELECT * FROM admin WHERE user_id = :user_id');
$stmt->bindParam(':user_id', $user_id);
$stmt->execute();
while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {