Php mysqli、准备语句和插入选择
让我们假设我在InnoDB数据库中有两个表:Php mysqli、准备语句和插入选择,php,mysql,mysqli,prepared-statement,Php,Mysql,Mysqli,Prepared Statement,让我们假设我在InnoDB数据库中有两个表:类别和笑话;我正在使用PHP/MySQLi来完成这项工作。这些表看起来是这样的: CATEGORIES id (int, primary, auto_inc) | category_name (varchar[64]) ============================================================ 1 knock, knock JOKES id
类别笑话CATEGORIES
id (int, primary, auto_inc) | category_name (varchar[64])
============================================================
1 knock, knock
JOKES
id (int, primary, auto_inc) | category_id (int) | joke_text (varchar[255])
=============================================================================
empty
$joke\u text$category\u idINSERT INTO jokes (category_id, joke_text)
SELECT c.id, '$joke_text'
FROM categories AS c WHERE c.id = $category_id;
$category\u id如果有人能帮助我,我将非常感激。首先,您创建的声明与您所做的正常声明非常相似
$stmt = $mysqli->prepare("INSERT INTO jokes (category_id, joke_text)
SELECT c.id, ?
FROM categories AS c WHERE c.id = ?;");
$stmt->bind_param('si', $joke_text,$category_id); // bind to the parameters
$stmt->execute();
我实际上在写一些代码,但我意识到你也在网上搜索这个。因此,我给了你一个PHP网站的链接,在那里你可以看到很多这样的内容 既然您正在学习MySQLi,为什么不直接转到PDO呢。这很相似,但我认为这就是未来的发展方向
使用mysqli real\u escape\u string函数对POST数据进行转义不是违背了使用准备语句的目的吗?您可以使用准备好的语句跳过该步骤。否则,您可能需要调用addslashes函数,然后使用real_escape_string函数对其进行转义。或者这至少是我在迁移到PDO之前第一次使用MySQLi时读到的。看,我同意,这只是一个习惯:)可以安全地删除双转义可能会在发送一个单引号时给你两个单引号。这就是我看到安全问题的地方。我们建议最好改掉这个习惯。:)嗯,也许这看起来比实际情况复杂得多。但是,我不想为
WHERE c.id=$category\u id?其中c.id=?$category\u idstmt->bind\u param