sql >> Database >  >> RDS >> Mysql

Hoe maak je een veilige mysql voorbereide verklaring in php?

Hier is een voorbeeld met mysqli (object-syntaxis - vrij eenvoudig te vertalen naar functiesyntaxis als u dat wenst):

$db = new mysqli("host","user","pw","database");
$stmt = $db->prepare("SELECT * FROM mytable where userid=? AND category=? ORDER BY id DESC");
$stmt->bind_param('ii', intval($_GET['userid']), intval($_GET['category']));
$stmt->execute();

$stmt->store_result();
$stmt->bind_result($column1, $column2, $column3);

while($stmt->fetch())
{
    echo "col1=$column1, col2=$column2, col3=$column3 \n";
}

$stmt->close();

Als je een gemakkelijke manier wilt om associatieve arrays te pakken (voor gebruik met SELECT *) in plaats van precies te specificeren aan welke variabelen je moet binden, is hier een handige functie:

function stmt_bind_assoc (&$stmt, &$out) {
    $data = mysqli_stmt_result_metadata($stmt);
    $fields = array();
    $out = array();

    $fields[0] = $stmt;
    $count = 1;

    while($field = mysqli_fetch_field($data)) {
        $fields[$count] = &$out[$field->name];
        $count++;
    }
    call_user_func_array(mysqli_stmt_bind_result, $fields);
}

Om het te gebruiken, roept u het gewoon aan in plaats van bind_result aan te roepen:

$stmt->store_result();

$resultrow = array();
stmt_bind_assoc($stmt, $resultrow);

while($stmt->fetch())
{
    print_r($resultrow);
}


  1. Aanbevelingen voor ondersteuning van zowel Oracle als SQL Server in dezelfde ASP.NET-app met NHibernate

  2. Een if-voorwaarde gebruiken in een SQL Server-insert

  3. Relatie bestaat niet

  4. Beginnen met bloggen voor HTML5 en CSS3