PHP SQL更新语句转换为（PDO）预处理语句

first of all im new to Stackoverflow and PHP so dont be to hard to me.

Im struggling this week with a sql query:

SET @i=0;UPDATE highscores SET ranking=@i:=(@i+1) ORDER BY highscore DESC;

i use this sql query because i have a table called 'highscores' and columns called highscore and ranking. this code helps me to automatic organize the ranking system(so the highest highscores get rank 1 etc.(no same rank with the same amount of highscore)), but since im using php and want to it be secure with prepared statements of PDO im really confused how to do it. i need some examples how to convert this sql query to a secured pdo prepared statement so code sniffers wont get into the database. this is the code which works:

$stmt = $db->prepare("SET @i=0;UPDATE highscores SET ranking=@i:=(@i+1) ORDER BY highscore DESC;     
$stmt->execute();

but as you see its not secured. i tried with arrays and bindparams but im really confused how to actually get it working while its secured. i hope you guys can help me cuz im struggling with this like 3 days.

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
dqjjw04440 2016-12-15 12:20
关注
Since you are not using any variables from outside of your query this query would be safe. The only thing I would change is removing this structure, because you can receive the ranking easily with a nice SELECT COUNT query.

$query = $pdo->prepare('SELECT COUNT(id) AS count FROM highscores WHERE highscore < :highscore'); $query->execute(['highscore' => $highscore]); $row = $query->fetch(PDO::FETCH_ASSOC); $ranking = (intval($row['count']) + 1);

This is a simple example, you are able to order it with IDs after you did checked what comes before this item, on that way you would get unique rankings.
解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

将PHP关联数组映射到PDO预处理语句中 mysql php
2016-10-07 21:51

回答 1 已采纳 It's hard to debug SQL when you're staring at the PHP code that formats SQL, instead of the final
具有多个更新准备语句的PDO无法执行 php sql
2018-10-27 10:15

回答 1 已采纳 <?php try { $conn = new PDO('mysql:host=localhost;dbname=*', '*', '*'); $conn->exec("SET CHA
尝试将mysql select语句转换为PDO mysql php sql
2014-03-28 00:56

回答 1 已采纳 Warning: PDOStatement::bindValue() expects at least 2 parameters, 1 given in $searchEmail->b
php预处理语句,php_pdo 预处理语句详解
2021-03-25 11:19

黑山大魔王的博客这篇文章主要介绍的是关于php_pdo 预处理语句，下面话不多说，我们来看看详细的内容。一、预处理语句可以带来两大好处：1、查询仅需解析(或预处理)一次，但可以用相同或不同的参数执行多次。当查询准备好后，数据库...
PDO预处理语句：如果缺少值，则使用NULL mysql php
2014-10-14 17:21

回答 2 已采纳 http://php.net/manual/en/pdo.setattribute.php try: setAttribute(PDO::ATTR_ORACLE_NULLS, PDO::NUL
在数据库中使用PDO预处理语句检查是否有任何结果 mysql php
2015-05-18 13:39

回答 1 已采纳 These two lines are a mess: $pdo->prepare$sql=('SELECT * FROM members WHERE username = :userna
使用PDO预处理语句和遍历接口时，如何指定fetch_style？ php
2018-05-22 23:50

回答 1 已采纳 Your first stop should always be the PHP manual ~ PDOStatement::setFetchMode $stmt=$this->pdo-
php_pdo 预处理语句详解
2021-01-21 15:54

这篇文章主要介绍的是关于php_pdo 预处理语句，下面话不多说，我们来看看详细的内容。一、预处理语句可以带来两大好处： 1、查询仅需解析（或预处理）一次，但可以用相同或不同的参数执行多次。当查询准备好后，...
验证PDO预处理语句中的password_hash（） mysql php
2015-03-13 14:28

回答 1 已采纳 Since you didn't put ->fetch in a loop, the single invocation will return a single row of assoc
使用PHP的PDO MYSQL准备更新语句未执行 mysql php
2015-04-26 14:00

回答 1 已采纳 Try to put the whole update customer code on try block and put catch block if any error occurs. B
使用PDO构造条件SQL语句 mysql php sql
2015-08-30 13:22

回答 1 已采纳 I would use an array to contain each part of the where... as a match occurs, add the resulting sta
mysql pdo 预处理_PHP PDO预处理语句详解
2021-01-27 17:36

诺拉Nora的博客在生成网页时，许多 PHP 脚本通常都会执行除参数以外，其他部分完全相同的查询语句，针对这种重复执行一个查询，每次迭代使用不同的参数情况，PDO 提供了一种名为预处理语句(prepared statement)的机制，如下图所示...
如何向此PDO添加动态预处理语句？ mysql php
2014-07-22 15:46

回答 1 已采纳 You just need to add the place holder and pass the array of values to execute $statement=$pdo-&gt
php pdo 查询语句,PDO：预处理语句（参数化查询）
2021-03-24 11:27

实施计划的博客 @(PDO(PHP data object/PHP数据对象))[PDO|预处理语句|参数化查询]The database library called PHP Data Objects or PDO for short can use drivers for many different database types, and supports a very ...
php pdo 预处理语句,PDO添加数据的预处理语句
2021-04-13 10:14

星星永远亮着的博客 1.添加页面添加数据代号：名称：2.处理页面(1)造PDO对象$dsn = "mysql:dbname=mydb;...(2)预处理语句$sql = "insert into nation values(:code,:name)";$stm = $pdo->prepare($sql);(3)执行$s...
PHP的PDO预处理语句与存储过程
2021-01-20 01:29

PHP PDO 预处理语句与存储过程很多更成熟的数据库都支持预处理语句的概念。什么是预处理语句？可以把它看作是想要运行的 SQL 的一种编译过的模板，它可以使用变量参数进行定制。预处理语句可以带来两大好处： ...
PDO预处理是如何防止SQL注入的
2021-05-13 20:22

yจุ๊บng的博客通过日志分析PDO是如何防止SQL注入的
php pdo预处理查询,关于php：从PDO预处理语句中获取原始SQL查询字符串
2021-05-08 13:12

墨然隳绶的博客在对准备好的语句调用pdoStatement:：execute()时，是否有方法执行原始SQL字符串？出于调试目的，这将非常有用。对于php>=5.1，请查看php.net/manual/en/pdoStatement.debugdumpparams.php检查一行功能PDO调试。...
php pdo预处理update,PDO预处理更新操作
2021-04-02 08:14

weixin_39774445的博客 try{$dsn='mysql:dbname=demo';$userName='root';$password='root';$pdo=newPDO($dsn,$userName,$password);//创建sql预处理语句$sql="UPDATE`user`SET`name`=:name,`email`=:email,`password`=sha1(:passwo...
PHP:PDO预处理机制在防SQL注入的作用/PDO CURD预处理/PDO预处理中bindValue与bindParam的不同之处
2021-10-07 21:31

ZzzWClock的博客 PHP:PDO预处理机制在防SQL注入的作用/PDO CURD预处理/PDO预处理中bindValue与bindParam的不同之处一.PDO预处理机制在防SQL注入的作用 pdo预处理机制防止sql注入 pdo使用 ?参数占位符或者命名占位符 :name ...
没有解决我的问题, 去提问

悬赏问题

¥100 为什么这个恒流源电路不能恒流？
¥15 有偿求跨组件数据流路径图
¥15 写一个方法checkPerson，入参实体类Person，出参布尔值
¥15 我想咨询一下路面纹理三维点云数据处理的一些问题，上传的坐标文件里是怎么对无序点进行编号的，以及xy坐标在处理的时候是进行整体模型分片处理的吗
¥15 CSAPPattacklab
¥15 一直显示正在等待HID—ISP
¥15 Python turtle 画图
¥15 stm32开发clion时遇到的编译问题
¥15 lna设计源简并电感型共源放大器
¥15 如何用Labview在myRIO上做LCD显示？(语言-开发语言)

PHP SQL更新语句转换为（PDO）预处理语句

1条回答 默认 最新

悬赏问题

1条回答默认最新