Php PDO报价方法
在PDO中何时何地使用quote方法?我这样问是因为在PDO中,所有引用都是由PDO对象完成的,因此不应该转义/引用用户输入等。这让人想知道,如果quote方法无论如何都不会在准备好的语句中使用,为什么还要担心它 虽然这可能不是唯一的用例,但它是我唯一需要的Php PDO报价方法,php,mysql,pdo,Php,Mysql,Pdo,在PDO中何时何地使用quote方法?我这样问是因为在PDO中,所有引用都是由PDO对象完成的,因此不应该转义/引用用户输入等。这让人想知道,如果quote方法无论如何都不会在准备好的语句中使用,为什么还要担心它 虽然这可能不是唯一的用例,但它是我唯一需要的quote。您只能使用PDO_Stmt::execute传递值,因此例如,此查询不起作用: SELECT * FROM tbl WHERE :field = :value quote的引入使您可以执行以下操作: // Example: fi
quotePDO_Stmt::executeSELECT * FROM tbl WHERE :field = :value
quote// Example: filter by a specific column
$columns = array("name", "location");
$column = isset($columns[$_GET["col"]]) ? $columns[$_GET["col"]] : $defaultCol;
$stmt = $pdo->prepare("SELECT * FROM tbl WHERE " . $pdo->quote($column) . " = :value");
$stmt->execute(array(":value" => $value));
$stmt = $pdo->prepare("SELECT * FROM tbl ORDER BY " . $pdo->quote($column) . " ASC");
并且仍然希望在查询中安全地筛选
$column但是,有时,您将不会(或不能)使用准备好的语句,并且必须编写完整的SQL查询并使用;在这种情况下,您必须确保字符串被正确引用——这是该方法有用的时候。anwser有点晚了,但有一种情况是,如果您从表中获取了大量数据,稍后将放回表中,该方法会很有用 例如,我有一个函数,它从一个表中获取一堆文本并将其写入一个文件。该文本稍后可能会插入到另一个表中。quote()方法使所有的引号都是安全的 这很容易:
$safeTextToFile = $DBH->quote($textFromDataBase);
PDO系统没有(据我所知)任何机制将PHP中的数组变量绑定到SQL中的集合中。这也是SQL准备语句的一个限制。。。因此,为了实现这一目的,您必须完成将自己的功能缝合在一起的任务。例如,您有:
$a = array(123, 'xyz', 789);
$sql = "SELECT * FROM mytable WHERE item IN (123, 'xyz', 789)";
如果有人知道避免这种困难的方法,那就很高兴了。确实不要担心“引用方法”(不知道那是什么)PDO中没有“引用方法”。我很难弄明白你在问什么。我会说“永远不会”。另请参见手册中的注释,基本上是这样写的:如果你想使用它,不要。(@tomalak:我怀疑这个方法是故意的?@Nanne啊!我被纠正了。PDO中有一个quote方法。只是这没什么意义。现在我也明白了这个问题。在的PHP PDO文档中,一位用户评论道:“如果您只提交一个查询,那么将PDO::query()与PDO::quote()一起使用要快得多。”因此,至少有人认为这个方法是有意义的。+1用于用例。在国际海事组织,任何人都不应该真正需要这个。无论何时使用实际的用户输入来构建SQL,应用程序设计都存在严重错误。(推论:如果用户输入已被彻底清除,则无需再引用
$columnquote