我当前在运行一个需要传入字符串参数的查询时遇到问题。通常,我会通过将所述字符串直接放入查询本身来避免这种情况,但我希望通过清除输入来开始应用适当的安全协议和最佳实践。
以下是查询:
$newAddr->query = "insert into sampleSchema.SampleCustomerAddresses (customer_number, address_id, addr_line1, addr_line2, city, state, zipcode)
values (?,?,?,?,?,?,?)";
我的参数是这样传入的:
$newAddr->parameters = [$CUSTOMER, $addrId, $addrL1, $addrL2, $city, $state, $zip];
$newAddr->performDBCall();
处理参数绑定的代码如下:
if (count($this->parameters) != 0){
foreach ($this->parameters as $param) {
db2_bind_param($dbStatement, $i, 'param', DB2_PARAM_IN);
$i++;
}
}
尝试从应用程序运行此查询会在强制转换参数无效错误中产生字符。
问题是,如何通过db2_bind_param传递字符串参数?或者我必须进行单独的清理,然后将参数直接添加到查询中?
经过一番调查,我终于找到了根本原因。在我最初的parameters循环中,我使用了foreach循环,并将$this->参数分配给$param。我不知道的是,参数的绑定实际上发生在执行之前。因此,我有了这样的东西:
db2_bind_param($dbStatement, 1, "param", DB2_PARAM_IN);
db2_bind_param($dbStatement, 2, "param", DB2_PARAM_IN);
db2_bind_param($dbStatement, 3, "param", DB2_PARAM_IN);
db2_bind_param($dbStatement, 4, "param", DB2_PARAM_IN);
我本以为它会立即绑定,然后在下次绑定时可以清楚地使用该引用。
因此,我将该部分替换为以下内容:
$numOfParams = count($this->parameters);
if ($numOfParams != 0){
for ($i = 0; $i < $numOfParams; $i++){
$param = 'param'.$i;
${$param} = $this->parameters[$i];
$k = $i + 1;
db2_bind_param($dbStatement, $k, "param{$i}", DB2_PARAM_IN);
}
}
这使我能够为函数的生命周期创建具有各自字符串名称的临时变量引用。这最终解决了另一个问题,所有参数都是我在试验这个问题一段时间后发现的最终绑定值的副本。
希望这能对未来有类似问题的其他人有所帮助。