duai3681 2014-08-26 21:26
浏览 51
已采纳

具有%和限制的PDO准备语句

I am really new to PDO, but I need to use it to avoid SQL injections.

Here is my SQL Query with the variables I've got via the POST Request and I want to do a PDO with that SQL Query (this version works):

if($refid == "") $refid="%";

$lastOrders = "SELECT * FROM Orders WHERE REFID LIKE'$refid' 
               ORDER BY dateAdded DESC LIMIT 0,$limiter";
$ps_orders = $db->query($lastOrders);
$data = $ps_orders->fetchAll();

My problem(s): The given $refid is either a number which I can find in the database, or it isn't specified by the POST Request (so the value is $refid="") and in that case I want to set the WHERE part to this: WHERE REFID LIKE '%', so I can see in that case all results for every "RefID". Is there a way to do it that way, or do I really need to create 2 different SQL Queries for both cases ?

My try (doesn't work can't figure out what the exactly problem is):

if($refid == "") $refid="%";

$sql = "SELECT * FROM Orders WHERE REFID LIKE :refid
        ORDER BY dateAdded DESC LIMIT :min,:max";
$ps_orders = $db->prepare($sql);
$ps_orders->bindParam(':refid', $refid, PDO::PARAM_STR);
$ps_orders->bindParam(':min', 0, PDO::PARAM_INT);
$ps_orders->bindParam(':max', (int)$limiter, PDO::PARAM_INT);
$ps_orders->execute();
$data = $ps_orders->fetchAll();
  • 写回答

1条回答 默认 最新

  • dongying6659 2014-08-26 21:34
    关注

    bindParam requires a variable reference so it won't work with as

    bindParam(":min", 0, PDO::PARAM_INT)

    You could create one like $zero = 0, but this seems unnecessary so you can just use bindValue instead. Same for (int)$limiter which becomes a value rather than a variable.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

  • MySQL PDO准备语句 mysql php
    2017-01-27 12:47
    回答 2 已采纳 You need to pass parameter 2 by reference to the bindParam function. Replace this- $statement-&g
  • 具有多个更新准备语句PDO无法执行 php sql
    2018-10-27 10:15
    回答 1 已采纳 <?php try { $conn = new PDO('mysql:host=localhost;dbname=*', '*', '*'); $conn->exec("SET CHA
  • PHP PDO使用IN和WHERE运算符准备语句 php
    2016-08-10 00:48
    回答 1 已采纳 I believe the reason this is not working is because you are using both $stmt->bindParam(1, $va
  • PHP之PDO预处理语句操作数据库
    2017-12-09 18:06
    u012600104的博客 相较于前面的exec()和query()语句来说,预处理语句更加常用定义在生成网页时,许多PHP脚本通常都会执行除参数之外,其他部分完全相同的查询语句,针对这种重复执行一个查询,每次迭代使用不同的参数情况,PDO提供了...
  • 使用PDO准备和绑定语句的条件查询 php
    2015-10-08 08:07
    回答 1 已采纳 you can use handy PDO's feature that lets you to send array with parameters straight into execute(
  • PDO准备语句:替换列的值 php sql
    2015-06-18 05:49
    回答 2 已采纳 You can't use same named bind parameters within prepare statement your parameters name must be uni
  • 计算PDO准备语句中的行数 mysql php
    2015-10-03 12:34
    回答 2 已采纳 First, if you want to ensure that only one username is selected, you can use LIMIT in your MySQL s
  • 前端学PHP之PDO预处理语句
    2018-08-29 11:37
    zjthorse的博客  本来要把预处理语句和前面的基础操作写成一篇的。但是,由于博客园的限制,可能是因为长度超出,保存时总是报错,于是再开一篇。另一方面,相较于前面的exec()和query()语句来说,预处理语句更加常用 定义  在...
  • PDO准备语句语法警告 mysql php sql
    2013-10-28 13:43
    回答 1 已采纳 Use backticks instead of single-quotationmarks for tablenames (and columnnames): $newUserStmt =
  • PDO准备语句限制不起作用[重复] php
    2013-06-28 02:35
    回答 1 已采纳 Solved. $sth->bindParam(':limit', $limit, PDO::PARAM_INT);
  • 使用预准备语句构建PDO动态查询 mysql php sql
    2018-08-07 09:27
    回答 1 已采纳 this is funny. i can't answer my question. i found the solution. it is because of double foreach l
  • PHP基础知识之————PDO预处理语句
    2016-12-08 10:25
    Tinywan的博客  在生成网页时,许多PHP脚本通常都会执行除参数之外,其他部分完全相同的查询语句,针对这种重复执行一个查询,每次迭代使用不同的参数情况,PDO提供了一种名为预处理语句(prepared statement)的机制。它可以将整个...
  • PHP 面试服务器优化和大数据
    2019-12-10 18:17
    代码技巧的博客 将该报表设置起始行和结束行参数,在 API 生成报表的过程中,分步计算报表,比如一张 20 万行数据的报表,在生成过程中,可通过起始行和结束行分 4-5 次进行。这样,就降低了报表生成时的内存占用,在后面报表生成的...
  • PHP处理Oracle的CLOB实例
    2020-12-18 13:20
    当涉及到CLOB字段时,由于PDO默认将所有参数视为字符串,并限制了默认长度,因此在插入CLOB数据时需要特别注意。 ```php // 创建PDO实例并连接到Oracle数据库 $pdo = new PDO('oci:dbname=//hostname:port/service_...
  • 大数据技术之数据安全与网络安全——CMS靶场(文章管理系统)实训
    2023-11-25 00:25
    星川皆无恙的博客 数据与网络安全作为保障大数据系统正常运行的基石,同样备受关注。...本文通过CMS靶场实训,深入分析CMS系统的安全漏洞,探讨防范措施,提供实战经验和攻防能力,有助于加强大数据与网络安全意识。
  • mysql千万级大数据SQL查询优化
    2022-04-20 14:53
    didi558的博客 针对当前程序员面试缺乏权威题目汇总这一-痛点, 本书选取将近200道真实出现过的经典代码面试题,帮助广“大程序员的面试准备做到万无一失。 “刷”完本书后,你就是“题王”! 《TCP-IP协议组(第4版)》 本书是介绍...
  • 15.php数据库抽象层PDO(四)
    2016-05-27 09:27
    Chris-Chang的博客 不管是使用PDO对象中的query()方法,还是使用prepare()和execute()等方法结合的预处理语句,执行select查询都会得到相同的结果集对象PDOStatement.都需要通过PDOStatement类对象中的方法将数据遍历出来。 1. 获取...
  • mysql 大数据 查询优化原则
    2017-05-18 16:37
    大树叶的博客 当我们去设计数据库表结构,对操作数据库时(尤其是查表时的SQL语句),我们都需要注意数据操作的性能。这里,我们不会讲过 多的SQL语句的优化,而只是针对MySQL这一Web应用最多的数据库。希望下面的这些优化技巧对你...
  • 护网面试题总结+安全工程师笔试问题
    2024-01-06 13:17
    12. SQL注入预防措施:使用预编译语句(如PDO)、输入验证、参数化查询、限制数据库权限等。 13. 序列化与反序列化的区别:序列化是将对象转换成可传输的字节序列,反序列化则是将字节序列恢复为对象。 14. 常见的...
  • BBS论坛系统详细设计与具体代码实现
    2024-04-22 15:13
    AI天才研究院的博客 1.背景介绍 在我们的日常生活中,BBS论坛系统是非常常见的一种网络社交形式。它为广大网友提供了一个公共...本文将详细介绍BBS论坛系统的设计和实现过程,帮助读者更好地理解这一复杂的系统。 1.1 论坛系统的历史和发展
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 乌班图ip地址配置及远程SSH
  • ¥15 怎么让点阵屏显示静态爱心,用keiluVision5写出让点阵屏显示静态爱心的代码,越快越好
  • ¥15 PSPICE制作一个加法器
  • ¥15 javaweb项目无法正常跳转
  • ¥15 VMBox虚拟机无法访问
  • ¥15 skd显示找不到头文件
  • ¥15 机器视觉中图片中长度与真实长度的关系
  • ¥15 fastreport table 怎么只让每页的最下面和最顶部有横线
  • ¥15 java 的protected权限 ,问题在注释里
  • ¥15 这个是哪里有问题啊?