Warning: file_get_contents(/data/phpspider/zhask/data//catemap/8/mysql/67.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
PHP PDO将sql语句的一部分绑定到_Php_Mysql_Sql_Pdo - Fatal编程技术网
Fatal编程技术网
  • php/
  • PHP PDO将sql语句的一部分绑定到

PHP PDO将sql语句的一部分绑定到

php mysql sql

PHP PDO将sql语句的一部分绑定到,php,mysql,sql,pdo,Php,Mysql,Sql,Pdo,为什么我不能这样做(这是在函数中): 注意:sql部分?它设置在上面,通过开关后通过。但这是行不通的。只能绑定输入值吗?这将节省大量代码。不,不能绑定列名,只能绑定值 但您可以执行以下操作: $allowedColumns = ('userStatus', 'userCanEdit', ...); if (in_array($a, $allowedColumns)) { $sqlUpdateId = 'update users set ' . $a . ' = :status where

为什么我不能这样做(这是在函数中):

注意
:sql
部分?它设置在上面,通过开关后通过。但这是行不通的。只能绑定输入值吗?这将节省大量代码。

不,不能绑定列名,只能绑定值

但您可以执行以下操作:

$allowedColumns = ('userStatus', 'userCanEdit', ...);
if (in_array($a, $allowedColumns)) {
    $sqlUpdateId = 'update users set ' . $a . ' = :status where userId = :id and code = :code';
}
这是不可能的,这就是全部的想法。它应该被视为SQL范围之外的变量,否则SQL注入仍然是可能的这正是它现在的方式,除了我使用开关而不是数组:) 
$allowedColumns = ('userStatus', 'userCanEdit', ...);
if (in_array($a, $allowedColumns)) {
    $sqlUpdateId = 'update users set ' . $a . ' = :status where userId = :id and code = :code';
}