PDO：SQL中的引号

I'm seeing some weirdness when I try to run a query using PDO. The following code shouldn't return results, but it does:

$safe_path = $this->_databaseConnection->quote($unsafe_path);
$sql = "SELECT * FROM routes WHERE path=$safe_path LIMIT 1";
$statement_handle = $this->_databaseConnection->query($sql);
var_dump($statement_handle->fetchAll());

I'm confused because there aren't single quotes around the $safe_path variable as there would be if I were using the mysqli extension - but it's working. If I enclose $safe_path in quotes, no results are returned. This seems strange to me.

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

3条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dongmubi4444 2011-07-29 12:32
关注
You are already quoting the $safe_path variable with your first line in the sample:

$safe_path = $this->_databaseConnection->quote($unsafe_path);

That is why it works as it stands. If you attempt to add quotes yourself in the:

$sql = "SELECT * FROM routes WHERE path='$safe_path' LIMIT 1";

line then you would be doubling up the quotes and therefore breaking the SQL query.

Please see the manual page for quote() for more information:

PDO::quote() places quotes around the input string (if required) and escapes special characters within the input string, using a quoting style appropriate to the underlying driver.
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(2条)

报告相同问题？

关注问题

PDO：SQL中的引号 php sql
2011-07-29 12:30

回答 3 已采纳 You are already quoting the $safe_path variable with your first line in the sample: $safe_path =
PHP PDO在更新时转义双引号 mysql php
2016-03-03 01:14

回答 1 已采纳 Maybe it's work of directive magic_quotes_gpc see: http://php.net/manual/en/function.addslashes.ph
即使在PDO准备语句和绑定参数之后，也无法转义数组内的单引号 mysql php sql
2019-04-23 11:10

回答 1 已采纳 The issue is not with the INSERT statement but with the SELECT one. From the error you can see tha
PDO::quote讲解
2020-12-20 00:53

PDO::quote — 为SQL语句中的字符串添加引号。(PHP 5 >= 5.1.0, PECL pdo >= 0.2.1) 说明语法 public string PDO::quote ( string $string [, int $parameter_type = PDO::PARAM_STR ] ) PDO::quote()为SQL语句中...
带引号的PDO查询[重复] php
2015-12-14 15:24

回答 1 已采纳 Use bound parameters: $text1= $_POST['text1']; $text2= $_POST['text2']; $query = $con->prepare
PDO准备了转换单引号的语句 mysql php
2013-03-12 09:07

回答 1 已采纳 This code converts nothing, you should check where $name comes from and what value it really has.
PDO - 引号正在生成MySQL语法错误 mysql php
2012-06-27 18:11

回答 2 已采纳 You are using emulation it seems, because the database wouldn't even let you PREPARE this (set $d
php pdo执行sql,PHP使用PDO执行SQL语句
2021-03-23 18:10

weixin_39827625的博客在 PDO 中，我们可以使用三种方式来执行 SQL 语句，分别是 exec() 方法，query() 方法，以及预处理语句 prepare() 和 execute() 方法。下面就来分别介绍一下。1) exec() 方法当执行 INSERT、UPDATE 和 DELETE 等不...
BindValue在引号之间的sql语句中 php
2013-09-16 02:01

回答 1 已采纳 Though it's never mentioned in the doc explicitly, you can work with placeholders in SELECT part o
使用预准备语句但引号未被转义或删除 mysql php sql
2014-02-13 13:33

回答 1 已采纳 Prepared statements work by separating the query structure and the values in code like so: $stmt
用双引号字段括起来的cvs加载数据INFILE mysql php
2014-04-18 21:45

回答 1 已采纳 There shouldn't be a comma before ENCLOSED BY. It should be: $fieldenclosed = '"'; Just a singl
php中pdo,PHP中PDO实例详解
2021-03-26 11:21

iiif的博客 PDO(PHP数据对象) 是一个轻量级的、具有兼容接口的PHP数据连接拓展，是一个PHP官方的PECL库，随PHP 5.1发布，需要PHP 5的面向对象支持，因而在更早的版本上无法使用。它所提供的数据接入抽象层，具有与具体数据库...
如何从具有FOR循环的数组中提取特定行索引号？ php
2016-09-10 17:08

回答 2 已采纳 You are iterating indexes multiple times : on the first run : $i = 0; $Value1 = $result[0]['id
php quote(),PDO::quote讲解
2021-03-23 11:19

weixin_39851457的博客 PDO::quotePDO::quote — 为SQL语句中的字符串添加引号。(PHP 5 >= 5.1.0, PECL pdo >= 0.2.1)说明语法public string PDO::quote ( string $string [, int $parameter_type = PDO::PARAM_STR ] )PDO::quote()...
php pdo的用法,php pdo函数库用法详解
2021-04-22 06:57

我是一只大猩猩的博客 pdo->begintransaction() — 标明回滚起始点pdo->commit() — 标明回滚结束点，并执行sqlpdo->__construct() — 建立一个pdo链接数据库的实例pdo->...exec() — 处理一条sql语句，并返回所影响的条目...
php pdo预处理查询,关于php：从PDO预处理语句中获取原始SQL查询字符串
2021-05-08 13:12

墨然隳绶的博客在对准备好的语句调用pdoStatement:：execute()时，是否有方法执行原始SQL字符串？出于调试目的，这将非常有用。对于php>=5.1，请查看php.net/manual/en/pdoStatement.debugdumpparams.php检查一行功能PDO调试。...
pdo php数据对象,PHP的数据对象(PDO)扩展操作数据库
2021-04-22 03:28

迟老湿的博客 PDO提供了一个数据访问抽象层，这意味着，不管使用哪种数据库，都可以用相同的函数(方法)来查询和获取数据...在php5.6之后的版本(不一定准确)中php已经内置了pdo功能，不去要再去添加pdo扩展，只需要在php.ini文件中...
PDO预处理防御SQL注入
2022-04-07 00:19

嘎嘎不是鸭的博客 PDO可以被认作是一种通过编译SQL语句模板来运行SQL语句的机制。查询仅需解析（或预处理）一次，但可以用相同或不同的参数执行多次。当查询准备好后，数据库将分析、编译和优化执行该查询的计划。对于复杂的查询，...
php pdo sql注入,PHP PDO是如何防止SQL注入的？
2021-04-08 08:08

毛毛不会飞的博客 PDO (PHP数据对象)是一个数据库抽象层，它允许您快速而安全地处理许多不同类型的数据库。这使您能够使用相同的代码支持多种类型的数据库，并通过使用准备好的语句保护您免受SQL注入。数据库抽象层通过API提供所有...
php mssql pdo使用,PHP MSSQL数据操作PDO API
2021-04-28 02:49

osakadorisss的博客 $pdo=new PDO("mysql:dbname=test;host=127.0.0.1;port=3306","root","php");$pdo=new PDO("mysql:dbname=数据库;host=127.0.0.1;port=3306","root","php",array(PDO::ATTR_PERSISTENT=>true));$pdo->...
没有解决我的问题, 去提问

悬赏问题

¥15 Android Studio中如何把H5逻辑放在Assets 文件夹中以实现将h5代码打包为apk
¥15 使用小程序wx.createWebAudioContext()开发节拍器
¥15 关于#爬虫#的问题：请问HMDB代谢物爬虫的那个工具可以提供一下吗
¥15 vue3+electron打包获取本地视频属性，文件夹里面有ffprobe.exe 文件还会报错这是什么原因呢？
¥20 用51单片机控制急停。
¥15 孟德尔随机化结果不一致
¥15 在使用pyecharts时出现问题
¥50 怎么判断同步时序逻辑电路和异步时序逻辑电路
¥15 差动电流二次谐波的含量Matlab计算
¥15 Can/caned 总线错误问题,错误显示控制器要发1,结果总线检测到0

PDO：SQL中的引号

3条回答 默认 最新

悬赏问题

3条回答默认最新