我可以将参数绑定到PDO语句作为比较运算符吗？

Is this code

class opinion
{
   private $dbh;
   var $opinionid,$opinion,$note,$actorid,$dateposted;
   var $isnew=FALSE;
   function loadby($column,$value,$operator="="){
       $dbh = new PDO(I deleted parameters here);
       $statement=$dbh->prepare("select * from fe_opinion where :column :operator :value");
       $statement->bindParam(":column", $column);
       $statement->bindParam(":value", $value);
       $statement->bindParam(":operator", $operator); //UNSURE, DOUBTFUL
       $statement->bindColumn("opinionid", $this->opinionid);
       $statement->bindColumn("opinion", $this->opinion);
       $statement->bindColumn("note", $this->note);
       $statement->bindColumn("actorid", $this->actorid);
       $statement->bindColumn("dateposted", $this->dateposted);
       $statement->fetch();
       return $statement->rowCount(); //please be 1
   }
}

injection safe?

       $statement->bindParam(":operator", $operator); //UNSURE, DOUBTFUL

Can I bind a parameter to a PDO statement as a comparison operator?

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

4条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
duanna2026 2011-12-05 18:25
关注
No, you cannot bind operators like that. As a workaround, you can dynamically create the "base" SQL query and use an operator whitelist (which is quite appropriate) to remain safe from injection:

function loadby($column,$value,$operator="="){ $dbh = new PDO(...); $operator = getOperator($operator); if(!$operator) { // error handling } $statement=$dbh->prepare("select * from fe_opinion where :column $operator :value"); // the rest like you already do it } function getOperator($operator) { $allowed_ops = array('=', '<', '>'); // etc return in_array($operator, $allowed_ops) ? $operator : false; }

Apart from this, the rest is fine and injection-proof "by definition".
本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

查看更多回答(3条)

报告相同问题？

关注问题

我可以将参数绑定到PDO语句作为比较运算符吗？ php
2011-12-05 18:18

回答 4 已采纳 No, you cannot bind operators like that. As a workaround, you can dynamically create the "base" SQ
我可以在SQL语句中绑定运算符吗？ mysql php
2018-02-12 13:52

回答 1 已采纳 $sql .= " WHERE userBalance :operator1 :amount"; You cannot bind an operator, as the DB engi
如何使用PDO绑定参数方法将多行文本插入mysql？ mysql php
2018-08-09 19:43

回答 1 已采纳 I think the problem is in what you are using to display the text. On my server with PHP7 and MySQL
pdo mysql like_php – 使用带有％的LIKE运算符进行关键字搜索和PDO预处理语句
2021-03-16 23:20

不知盗的博客我正在尝试使用PDO预处理语句编写关键字搜索.理想情况下,我想利用LIKE运算符来搜索字段值中的子字符串.这是我的代码：$statement = $this->db->prepare("select * from whatever where title like ? or author...
无法将参数绑定到WHERE子句PDO php postgresql sql
2017-09-17 18:50

回答 1 已采纳 As you can see on this link you the PDO's execute method returns boolean by definition. I would r
是否可以将PDO参数绑定到对象的成员变量？ php
2012-12-29 00:59

回答 1 已采纳 PHP stores the reference of the variable to use it. When you call $qry->bindParam(1, $obj->q
mysql_到pdo：我做得对吗？ mysql php
2017-06-29 10:43

回答 2 已采纳 You'we almost correct, you just missed the point of prepare() <?php // New PDO variant try
防止 SQL 注入的 PHP PDO 准备语句教程
2022-08-21 13:13

allway2的博客这是推荐的方法，您显然可以将您的字符集设置为您的应用程序需要的任何内容（尽管 utf8mb4 是相当标准的）。其中任何一种都可以完全接受，尽管 PDO 对大多数用户来说是更好的选择，因为它更简单、更通用，而 MySQLi ...
PHP PDO使用IN和WHERE运算符准备语句 php
2016-08-10 00:48

回答 1 已采纳 I believe the reason this is not working is because you are using both $stmt->bindParam(1, $va
PDO多参数绑定用于准备语句 mysql php
2016-02-10 15:20

回答 3 已采纳 Do it at execute time? $stmt->execute(array(':name' => $name, etc....)) Using the formal
将PHP关联数组映射到PDO预处理语句中 mysql php
2016-10-07 21:51

回答 1 已采纳 It's hard to debug SQL when you're staring at the PHP code that formats SQL, instead of the final
mysql语句中添加php变量_如何在MySQL语句中包含PHP变量
2021-01-19 23:17

sdifan的博客匿名用户在任何MySQL语句中添加PHP变量的规则非常简单明了:任何表示SQL数据文本(或者，简单地说，SQL字符串或数字)的变量都必须通过准备好... 要执行此操作:在SQL语句中，用占位符替换所有变量准备结果查询将变量绑...
将PHP PDO迁移到Laravel PDO会导致参数号无效 laravel mysql php
2017-12-19 22:06

回答 1 已采纳 For some reason, Laravel connections will not automatically use PDO::ATTR_EMULATE_PREPARES. Even i
php 有空语句,php – 在条件中编写一个带有可空值的预准备语句
2021-04-22 14:56

weixin_39942351的博客有没有办法编写一个准备好的语句,其中一个值与条件中的另一个值进行比较,我不知道该值是否为NULL.SELECT `foo` FROM `bar` WHERE `a1` = :a1 AND `a2` = :a2如果我将这个准备好的陈述与a1 =>一起使用null和a2 =&...
防止 SQL 注入的 PHP MySQLi 准备语句教程
2022-08-21 13:01

allway2的博客这可能看起来很奇怪，为什么它甚至会保证自己的部分，因为您实际上可以一个接一个地使用准备好的语句。建议使用准备好的语句，因为它们显然更适合防止 SQL 注入并且不太容易出错，因为您不必担心手动格式化——相反...
php入门学习笔记（2/3）：函数、运算符、循环，php操作MySQL
2022-10-26 19:19

Neonline的博客最近接触到很多php代码，趁机系统学习了一下php，整理记录如文。
php 0x01是什么意思,JavaScript_PHP PDO操作总结，0x01：测试PDO是否安装成功运 - phpStudy...
2021-03-23 18:51

jun zheng的博客 PHP PDO操作总结0x01：测试PDO是否安装成功运行如下代码，如果提示参数错误，说明PDO已经安装，如果说明对象不存在，则修改PHP配置文件php.ini，取消php_pdo_yourssqlserverhere.extis前面的注释。$test=new PDO();...
mysql变量 PHP变量_如何在MySQL语句中包含PHP变量
2021-01-28 01:22

taziku_co的博客小编典典在任何MySQL语句中添加PHP变量的规则很简单：任何表示 SQL数据文字的变量(或简单地说-SQL字符串或数字)都必须通过准备好的语句添加。...为此：在您的SQL语句中，将所有变量替换为占位符准备结果查询将 ...
支持php7的博客,从PHP7.0 升级到PHP7.4
2021-04-26 15:11

星座呦呦秀的博客 try {// some code} catch (FirstException | SecondException $e) {// handle first...现在，您可以在[]语法中指定键。这样可以使用非整数或非顺序键来解构数组。$data = [["id" => 1, "name" => 'Tom'],["id...
mysql语句中添加php变量_如何在MySQL语句中包含PHP变量-问答-阿里云开发者社区-阿里云...
2021-01-28 07:24

weixin_39866646的博客在任何MySQL语句中添加PHP变量的规则很简单：任何表示SQL数据文字的变量(或简单地说-SQL字符串或数字)都必须通过准备好的语句...为此：在您的SQL语句中，将所有变量替换为占位符准备结果查询将变量绑定到占位符 ...
没有解决我的问题, 去提问

悬赏问题

¥15 请教一下各位，为什么我这个没有实现模拟点击
¥15 执行 virtuoso 命令后，界面没有，cadence 启动不起来
¥50 comfyui下连接animatediff节点生成视频质量非常差的原因
¥20 有关区间dp的问题求解
¥15 多电路系统共用电源的串扰问题
¥15 slam rangenet++配置
¥15 有没有研究水声通信方面的帮我改俩matlab代码
¥15 ubuntu子系统密码忘记
¥15 保护模式-系统加载-段寄存器
¥15 电脑桌面设定一个区域禁止鼠标操作

我可以将参数绑定到PDO语句作为比较运算符吗？

4条回答 默认 最新

悬赏问题

4条回答默认最新