Mysql PDO准备的语句“无效参数号”
我正在使用一个函数,这个函数一直在处理我的代码,现在我正在慢慢地从MySQLi迁移到PDO——这个函数应该只需要一个SQL语句和一个变量数组,然后设置准备好的语句,执行它并返回一个带有成功/失败代码的数组,然后是lastInsertId 到目前为止,这个函数一直工作得很好,考虑到我遇到的错误以及我是PDO新手,我想知道问题出在哪里 首先,函数本身是在别处定义的非常友好的常量Mysql PDO准备的语句“无效参数号”,mysql,pdo,prepared-statement,Mysql,Pdo,Prepared Statement,我正在使用一个函数,这个函数一直在处理我的代码,现在我正在慢慢地从MySQLi迁移到PDO——这个函数应该只需要一个SQL语句和一个变量数组,然后设置准备好的语句,执行它并返回一个带有成功/失败代码的数组,然后是lastInsertId 到目前为止,这个函数一直工作得很好,考虑到我遇到的错误以及我是PDO新手,我想知道问题出在哪里 首先,函数本身是在别处定义的非常友好的常量 function dbConnect(){ try { if(!defined('PDO::ATT
function dbConnect(){
try {
if(!defined('PDO::ATTR_DRIVER_NAME')){
debugPrint('Error: PDO unavailable');
return false;
}
$dsn = 'mysql:host=' . DB_SERVER . ';dbname=' . DB_NAME . ';charset=UTF8';
$opt = [
PDO::ATTR_EMULATE_PREPARES => false,
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC
];
$db = new PDO($dsn, DB_USER, DB_PASS, $opt);
return $db;
} catch (PDOException $e) {
debugPrint($e->getMessage());
return false;
}
}
function dbInsert($sql, $param){
$ret = [];
if(!$pdo = dbConnect()){
$ret[] = 1;
return $ret;
}
if(!$stmt = $pdo->prepare($sql){
echo $pdo->errorInfo();
$ret[] = 1;
return $ret;
}
if(!$stmt->execute($param)){
echo $pdo->errorInfo();
$ret[] = 1;
return $ret;
} else {
$ret[] = 0;
$ret[1] = $pdo->lastInsertId();
return $ret;
}
$sql = 'insert into customer (email) select :email from DUAL where not exists (select 1 from customer where email = :email)';
$bind = [':email' => 'user@bogus.org'];
Prepare insert into customer (email) select ? from DUAL where not exists (select 1 from customer where email = ?)
PHP Fatal error: Uncaught PDOException: SQLSTATE[HY093]: Invalid parameter number in {filename}:78
Stack trace:
#0 {filename}:78: PDOStatement->execute(Array)
#1 {callingFile(33)}: dbInsert('insert into cus...', Array)
#2 {main}
thrown in {filename} on line 78
$sql = 'insert ignore into customer (email) values (:email)';
$bind = [':email' => 'user@bogus.org'];
if (!$stmt = $pdo->prepare($sql)) {...}
$email = 'user@bogus.org';
$sql = 'insert into customer (email) select ? from DUAL where not exists (select 1 from customer where email = ?)';
$bind = [
1 => $email,
2 => $email,
];
作为一个非常好的资源,我向您推荐教程。Argh!我希望这是一件简单的事情,而我的经验不足会使它受到影响。非常感谢你的帮助,不客气。请注意,参数标记只应在sql语句中的某些位置使用。如果不在应该使用它们的地方使用它们,那么sql注入就无法不费吹灰之力地避免,或者根本无法避免。我记得,本教程也指出了这个问题。请允许我问:我已经设置了dbInsert调用dbConnect阻止我使用PDO事务,对吗?我有一个执行插入、选择、插入和最后选择的文件,该文件希望确保一切正常,应该是该文件生成$pdo->beginTransaction,最终生成$pso->commit,是吗?当然,目前它没有$pdo对象,因为它是在初始dbInsert中调用的,所以我在函数中调用dbConnect的想法需要删除,并从文件本身调用?@bnoeafk嗯,我从来没有处理过事务。但每次执行db操作CRUD时,绝对不应该创建db连接,例如pdo对象。相反,您应该只创建一个db连接对象,所有需要它的函数和类都应该共享它。例如,这个pdo对象应该作为参数注入函数或类构造函数中,或者在普通代码段中使用。在您的情况下,正如您已经正确建议的那样,您应该调用与任何函数分离的dbConnect。因此,我想这样做:@bnoeafk我将创建一个php文件connection.php,如果您愿意,在其中创建一个新的pdo对象$pdo,而不使用任何 功能。只有来自dbConnect的try-catch块。实际上,对于这样的操作,您根本不需要这样的异常处理,例如try catch块。阅读并了解原因和方式。然后我会在所有需要db操作的文件中包括connection.php文件,例如db连接。
$email = 'user@bogus.org';
$sql = 'insert into customer (email) select :email1 from DUAL where not exists (select 1 from customer where email = :email2)';
$bind = [
':email1' => $email,
':email2' => $email,
];
$email = 'user@bogus.org';
$sql = 'insert into customer (email) select ? from DUAL where not exists (select 1 from customer where email = ?)';
$bind = [
1 => $email,
2 => $email,
];