duanchao1002 2017-11-10 16:35
浏览 143
已采纳

如何使用DB :: insert作为预处理语句LARAVEL

I am trying to make my insert query protected against sql injection. But I am having issues getting this to work. any ideas? I have tried several things.

 $bullets = Input::get('bullet_content');
        $product_id = Input::get('product_id');
        $user_id = Input::get('user_id');
        $retailer_id = Input::get('retailer_id');
        $date = date("Y-m-d H:i:s");
        foreach ($bullets as $bullet){


            $query = "'INSERT INTO bullets(product_id, user_id,bullet_content, bullet_deleted, created_at, updated_at) 
                        VALUES('?','?','?','?','?','?')', [$product_id,$user_id,$bullet,'N',$date,$date]";


                        DB::insert($query);
        }
        return back()->with('message','Features add successfully!');

When I try this I get the following errror:

SQLSTATE[07002]: [Microsoft][ODBC Driver 11 for SQL Server]COUNT field incorrect or syntax error (SQL: 'INSERT INTO bullets(product_id, user_id,bullet_content, bullet_deleted, created_at, updated_at) VALUES('?','?','?','?','?','?')', [1,1,can't,'N',2017-11-10 16:28:44,2017-11-10 16:28:44])

I have also tried:

 $bullets = Input::get('bullet_content');
        $product_id = Input::get('product_id');
        $user_id = Input::get('user_id');
        $retailer_id = Input::get('retailer_id');
        $date = date("Y-m-d H:i:s");
        foreach ($bullets as $bullet){


            $query = "'INSERT INTO bullets(product_id, user_id,bullet_content, bullet_deleted, created_at, updated_at) 
                        VALUES('?','?','?','?','?','?')' ";
            $values = [$product_id,$user_id,$bullet,'N',$date,$date];

                        DB::insert($query,$values);
        }
        return back()->with('message','Features add successfully!');

and got the following error:

SQLSTATE[42000]: [Microsoft][ODBC Driver 11 for SQL Server][SQL Server]Incorrect syntax near 'INSERT INTO bullets(product_id, user_id,bullet_content, bullet_deleted, created_at, updated_at) VALUES('. (SQL: 'INSERT INTO bullets(product_id, user_id,bullet_content, bullet_deleted, created_at, updated_at) VALUES('1','1','can't','N','2017-11-10 16:33:43','2017-11-10 16:33:43')' )
  • 写回答

1条回答 默认 最新

  • dongxian3418 2017-11-10 16:40
    关注

    You don't need to quote question marks. Furthermore you can initialize $query before loop and use it as your prepared query inside the foreach:

    $bullets = Input::get('bullet_content');
$product_id = Input::get('product_id');
$user_id = Input::get('user_id');
$retailer_id = Input::get('retailer_id');
$date = date("Y-m-d H:i:s");
$query = "INSERT INTO bullets (product_id, user_id,bullet_content, bullet_deleted, created_at, updated_at) 
                       VALUES (?, ?, ?, ?, ?, ?)";
foreach ($bullets as $bullet) {
    $values = [$product_id,$user_id,$bullet,'N',$date,$date];
    DB::insert($query, $values);
}
return back()->with('message','Features add successfully!');
    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

  • php使用MySQL预处理_PHP MySQL 预处理语句
    2021-01-21 03:13
    statch的博客 PHPMySQL 预处理语句预处理语句对于防止 MySQL 注入是非常有用的。预处理语句及绑定参数预处理语句用于执行多个相同的 SQL 语句,并且执行效率更高。预处理语句的工作原理如下:预处理:创建 SQL 语句模板并发送到...
  • php pdo 查询语句,PDO:预处理语句(参数化查询)
    2021-03-24 11:27
    实施计划的博客 @(PDO(PHP data object/PHP数据对象))[PDO|预处理语句|参数化查询]The database library called PHP Data Objects or PDO for short can use drivers for many different database types, and supports a very ...
  • php数据预处理,php之数据库预处理语句
    2021-04-11 12:11
    Master ji的博客 配置文件config.php
  • oracle预处理删除语句,6. 使用预处理语句
    2021-05-08 02:21
    陈犀的博客 预处理语句具有 Go 的所有常规好处:安全性、效率、便利性。但是它们的实现方式与您习惯的可能有所不同,尤其是在它们如何与 database/sql 的某些内部组件交互方面。预处理语句和连接在数据库级别,一条预处理语句...
  • PHP中操作数据库的预处理语句
    2020-12-07 18:02
    码农老张Zy的博客 PHP中操作数据库的预处理语句今天这篇文章的内容其实也是非常基础的内容,不过在现代化的开发中,大家都使用框架,已经很少人会去自己封装或者经常写底层的数据库操作代码了。所以这回我们就来复习...
  • php使用PDO执行SQL语句的方法分析
    2020-10-20 09:50
    2. 使用预处理语句可以提高性能,减少SQL注入的风险。 3. 支持错误处理,能够捕获数据库操作中的异常。 4. 支持数据转换,能够自动将从数据库中检索到的数据转换为PHP的数据类型。 二、PDO与传统数据库扩展的区别 ...
  • Taller_PHP_8:使用PHP PDOMySQL连接
    2021-05-04 16:39
    通过这个工作坊,参与者将学习如何使用PHP PDOMySQL扩展与MySQL数据库进行交互,包括建立连接、执行查询、处理结果以及利用预处理语句和事务来确保数据的安全性。这个技能对于任何想要进行PHP Web开发的人来说都是必...
  • library:通过PHPDB相关的应用
    2021-04-06 14:18
    标题 "library:通过PHPDB相关的应用" 暗示了这个项目或教程主要关注如何使用PHP编程语言来实现数据库相关的功能。在Web开发中,PHP是一种常用的服务器端脚本语言,尤其适合处理数据库交互。这里,我们可能涉及到的...
  • php pdo数据库操作-预处理,PHP中操作数据库的预处理语句
    2021-03-24 09:47
    千层猫的博客 PHP中操作数据库的预处理语句今天这篇文章的内容其实也是非常基础的内容,不过在现代化的开发中,大家都使用框架,已经很少人会去自己封装或者经常写底层的数据库操作代码了。所以这回我们就来复习一下数据库中相关...
  • thinkphp mysql 预处理_PHP MySQL 预处理语句
    2021-01-19 21:13
    weixin_39521009的博客 PHP MySQL 预处理语句MySQL 从4.1版本开始提供了一种名为预处理语句(prepared statement)的机制。MySQL 预处理语句不仅大大减少了需要传输的数据量,还提高了命令的处理效率。预处理语句对于防止 MySQL 注入是非常...
  • 没有解决我的问题, 去提问