Php PDO:无效参数编号：混合命名参数和位置参数_Php_Parameters_Pdo

Php PDO:无效参数编号：混合命名参数和位置参数

php parameters

Php PDO:无效参数编号：混合命名参数和位置参数,php,parameters,pdo,Php,Parameters,Pdo,我遇到了一个以前从未见过的警告：警告：PDOStatement:：execute（）[PDOStatement.execute]：SQLSTATE[HY093]：无效参数编号：中混合了命名参数和位置参数参考以下PDO查询（为了便于阅读，简化了函数）：函数和PDO查询在查询中不包含偏移量和限制变量的情况下运行良好。那么，是什么导致了这一警告呢感谢在where_字符串中使用？这是一个位置参数，在限制和偏移量中使用：这是一个导致警告的命名参数，不要将它们混合使用更改到及致：正如警告所

我遇到了一个以前从未见过的警告：

警告：PDOStatement:：execute（）[PDOStatement.execute]：SQLSTATE[HY093]：无效参数编号：中混合了命名参数和位置参数

参考以下PDO查询（为了便于阅读，简化了函数）：

函数和PDO查询在查询中不包含偏移量和限制变量的情况下运行良好。那么，是什么导致了这一警告呢

感谢在where_字符串中使用

？

这是一个位置参数，在限制和偏移量中使用

：

这是一个导致警告的命名参数，不要将它们混合使用更改

到

及

致：

正如警告所说的那样，您是否将命名参数（

：offset

，

：limit

）与位置参数（

，如？

）混合在一起？@MarcB可能我遗漏了一些东西，但您在哪里看到sql注入孔？@CountMurphy如果您检查该字符串是如何构建的，您将看到它来自一个只包含

post\u title（如？

string）的数组，正如jeroen所说，我认为这是可以的，因为我绑定了查询中

$where\u string

变量中使用的参数@MarcB OP正在构建

$where\u string

将硬编码的

post\u title LIKE？

字符串与

或字符串连接起来，然后将其变量绑定到占位符。看起来不错。谢谢，你知道我如何在where_字符串中使用命名参数，而不是位置参数，或者反之亦然？@crm要么用命名参数替换？
实例，如：pattern1
，：pattern2
，要么用？替换命名参数，它们的索引为count+1和count+2，其中count是被检查的模式数。
$offset = 0;
$limit = 12;
function retrieve_search_posts($searchfield, $offset, $limit){


        $where = array();

        $words = preg_split('/[\s]+/',$searchfield);

        array_unshift($words, '');
        unset($words[0]);

        $where_string = implode(" OR ", array_fill(0,count($words), "`post_title` LIKE ?"));

        $query = "
                                SELECT  p.post_id, post_year, post_desc, post_title, post_date, img_file_name, p.cat_id
                                FROM    mjbox_posts p
                                JOIN    mjbox_images i
                                ON      i.post_id = p.post_id
                                        AND i.cat_id = p.cat_id
                                        AND i.img_is_thumb = 1
                                        AND post_active = 1
                                WHERE $where_string
                                ORDER BY post_date
                                LIMIT :offset, :limit
                                DESC";
        $stmt = $dbh->prepare($query);

        foreach($words AS $index => $word){
            $stmt->bindValue($index, "%".$word."%", PDO::PARAM_STR);
        }
        $stmt->bindParam(':offset', $offset, PDO::PARAM_INT);
        $stmt->bindParam(':limit', $limit, PDO::PARAM_INT);
        $stmt->execute();

        $searcharray = $stmt->fetchAll(PDO::FETCH_ASSOC);

        return $searcharray;
    }

LIMIT :offset, :limit

LIMIT ?, ?

$stmt->bindParam(':offset', $offset, PDO::PARAM_INT);
$stmt->bindParam(':limit', $limit, PDO::PARAM_INT);

$stmt->bindValue($index+1, $offset, PDO::PARAM_INT);
$stmt->bindValue($index+2, $limit, PDO::PARAM_INT);