Php 使用prepared语句限制MySQL上的关键字
对于PDO(我使用的是包含Apache2.2.21、PHP升级到5.3.6和MySQL 5.5.9的MAMP 2.0.5),如果我使用Php 使用prepared语句限制MySQL上的关键字,php,mysql,prepared-statement,limit,Php,Mysql,Prepared Statement,Limit,对于PDO(我使用的是包含Apache2.2.21、PHP升级到5.3.6和MySQL 5.5.9的MAMP 2.0.5),如果我使用 SELECT id, content, date FROM comment WHERE post = ? ORDER BY date DESC LIMIT ?, ? 它起作用了 我在MySQL的bug中看到,这是以前版本中的bug,但我不明白这是否仍然需要修复 如果这仍然是一个问题,是否有一种方法可以用另一种方法选择一系列行 代码: 问题是: $comment
SELECT id, content, date
FROM comment
WHERE post = ?
ORDER BY date DESC
LIMIT ?, ?
$comments = $db->prepare($query);
/* where $db is the PDO object */
$comments->execute(array($post, $min, $max));
input_parameters$comments = $db->prepare($query);
/* where $db is the PDO object */
$comments->execute(array($post, $min, $max));
LIMIT '0', '10'
LIMITSELECT- 在准备好的语句中,
参数可以使用?占位符标记LIMIT - 在存储程序中,可以使用整数值例程参数或局部变量指定
参数LIMIT
- 逐个绑定参数,以便可以设置类型:
mysql> SELECT 1 LIMIT 0, 10; +---+ | 1 | +---+ | 1 | +---+ 1 row in set (0.00 sec) mysql> SELECT 1 LIMIT '0', '10'; ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''0', '10'' at line 1 - 不要将这些值作为参数传递:
$comments->bindParam(1, $post, PDO::PARAM_STR); $comments->bindParam(2, $min, PDO::PARAM_INT); $comments->bindParam(3, $min, PDO::PARAM_INT); - 禁用模拟准备(MySQL驱动程序有一个错误/功能,将使其引用数值参数):
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, FALSE);
另一个答案说明了它是如何工作的。PDO在默认情况下只是模拟prepares,当您以静默方式绑定变量而不设置类型时,PDO在默认情况下将它们视为字符串。SQL中的字符串必须被引用和转义-因此在LIMIT子句中有引号,并且出现语法错误。当使用本机准备的语句时,数据库可以整理出适当的类型。如何绑定参数?解决方法是将要替换的值转换为
LIMIT(int)0var\u dump()$query = sprintf('SELECT id, content, date
FROM comment
WHERE post = ?
ORDER BY date DESC
LIMIT %d, %d', $min, $max);
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, FALSE);
$dbh->setAttribute( PDO::ATTR_EMULATE_PREPARES, false );