dreamice2013 2013-09-01 00:29
浏览 11
已采纳

PDO中的准备陈述; 比其他形式的SQL插入更受益?

I learned in school to do something like the below to insert data into SQL via $_POSTed form data.

$title = mysql_escape_string($_POST["newstitle"]);
$body = mysql_escape_string($_POST["newsbody"]);
$addnews = $db->query("
    INSERT INTO news
        VALUES (CURRENT_DATE, '$body', '$title', '')
");

However, it was fairly recently I was told I should be using the below instead:

$addnews = $db->prepare("
    INSERT INTO news
        VALUES (CURRENT_DATE, :body, :title, '')
");
$addnews->execute(array(
    ':body' => $_POST["newsbody"],
    ':title' => $_POST["newstitle"]));

What benefit does the second snippet of code offer? My professor in the aforementioned course was very traditional and I imagine was teaching an archaic way of doing things. He did use a lot of PDO, but never for the above example. And yes, I know mysql_escape_string() is deprecated, but that is how I was taught. I'm trying to make an effort to change my method to be more appropriate for current trends.

  • 写回答

1条回答 默认 最新

  • dqlk31541 2013-09-01 04:47
    关注

    Your question can be answered easily.

    I hope you understand that whatever value have to be properly formatted to be put into SQL query. So prepared statement does. Unlike whatever *_escape_string, which does only partial formatting, prepared statement intended to do the full one. And right where it have to be done - not sooner, not later - so it makes it impossible to forget. That's the point.

    You only need to understand the difference between formatting and escaping, which no professor ever understands.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

  • php PDO - 如何获取最后插入的ID? php
    2018-04-02 03:56
    回答 1 已采纳 just figured out $pdo need to be set as global variable. // put pdo variable as global to handle
  • 如何在PHP使用PDO获取MS SQL存储过程返回值? php
    2017-12-27 20:03
    回答 1 已采纳 You need to fetch a row from the statement, then access the column from the array this returns. $
  • 将Base64图像插入PHP PDO阵列 mysql php
    2018-04-16 18:18
    回答 2 已采纳 So the answer to this question came from AbraCadaver. $sql = "SELECT img from artistlocation";
  • php实现PDO捕获SQL语句错误的方法
    2020-10-20 10:04
    在上面的代码,我们首先设置了PDO的错误模式为PDO::ERRMODE_SILENT,然后执行了一个插入语句。通过调用errorCode()方法来检查是否有错误发生,并通过errorInfo()方法获取了详细的错误信息。 接下来是警告模式,...
  • PHP PDO的DATE_ADD sql php sql
    2013-11-12 11:26
    回答 1 已采纳 0000-00-00 is not a valid date. MySQL can be configured to store invalid or incomplete dates, but
  • PHP - SQL如何从表选择ID并插入另一个表? mysql php sql
    2015-09-24 19:06
    回答 1 已采纳 Use the LAST_INSERT_ID() function: $sql2 = "INSERT INTO articles(dj_ids) VALUES (LAST_INSERT_ID()
  • 如何获得自动递增插入PDO PHP的主键? php sql sqlite
    2015-03-17 09:58
    回答 2 已采纳 call lastInsertId of your PDO object. if($stmt->execute()) { return $pdo->lastInsertId(
  • PHP基于PDO调用sqlserver存储过程通用方法【基于Yii框架】
    2020-10-19 03:43
    - 类包含的`ExecuteProc`方法通过`prepare`和`execute`方法准备和执行SQL语句。 - 使用`bindParam`方法绑定参数到SQL语句,同时指定参数类型。 - 调用`fetchAll`方法获取结果集,并检查是否存在多个结果集...
  • 如何在PHP PDO创建函数插入 mysql php
    2016-05-20 06:13
    回答 1 已采纳 You had a typo, that's all. You should have: ':tgl' => $tgl In your query $params array.
  • php的mvc模型应该是PDO包装器吗? php
    2019-05-29 23:11
    回答 2 已采纳 I'd take this question rather as a genuine inquiry than a request to review some SEO spam article
  • PHP PDO将CSV数据插入SQLite - 是否有比逐行插入快的方法? php sqlite
    2013-01-09 13:45
    回答 2 已采纳 Well, I don't know if there is a bulk approach with SQLite that can be used via a PDO driver, but
  • php使用pdo连接sqlserver示例分享
    2020-12-15 08:08
    标签的"php框架"和"SQL"表明了在广泛的上下文,可能需要了解如何在PHP框架(如ThinkPHP使用PDO连接SQL Server,并进行SQL操作。这通常涉及到配置框架的数据库连接设置,然后通过框架提供的数据访问对象...
  • php使用PDO执行SQL语句的方法分析
    2020-10-20 09:50
    在使用PDO时,建议总是启用异常模式来处理错误,这样可以容易地捕捉到操作过程出现的问题。同时,对于可能引起SQL注入的动态SQL语句,应当使用预处理语句来提高应用程序的安全性。 PDO的优势在于其灵活性和安全...
  • PHP实现的pdo连接数据库并插入数据功能简单示例
    2020-10-17 05:49
    同时,建议熟悉PDO提供的其他方法,如`prepare()`和`execute()`,它们在处理复杂查询和多次执行相同SQL时非常有用。 总的来说,PHPPDO扩展提供了一种安全、灵活的方式来与各种数据库进行交互,它不仅支持多种...
  • fluentpdo:使用PDOPHP SQL查询生成器
    2021-01-30 15:33
    FluentPDO是使用PDOPHP SQL查询生成器。 这是一个快速轻松的库,具有一个智能联接构建器,可自动为您创建表联接。 产品特点 简单的界面可创建强大的查询 支持任何与PDO兼容的数据库 只需少量代码即可构建复杂的...
  • PHP7.3的sql server PDO_DBLIB库
    2022-07-15 08:47
    - 如果性能是关键,可以考虑升级到高级的SQL Server驱动,如PDO_SQLSRV,或者优化查询和数据库设计。 - 使用错误处理和日志记录机制来追踪和调试可能出现的问题。 通过以上介绍,我们可以看到PHP7.3的PDO_DBLIB...
  • php使用PDO事务配合表格读取大量数据插入操作实现方法
    2020-10-20 10:03
    在上述实例,通过PDO的prepare()方法准备了一个插入语句,并使用bindParam()方法将Excel的数据绑定到SQL语句的参数上。在循环动态地为每一行数据执行execute()方法,从而将数据插入到数据库。 ### 异常处理...
  • 关于php连接mssqlpdo odbc sql server
    2020-12-18 17:25
    php $cnx = new PDO(“odbc:Driver={SQL Server};Server=127.0.0.1;Database=test;”,’sa’,’asd123′); var_dump($cnx); $a = $cnx->query(“SELECT * FROM [user]”); var_dump($a); foreach ($a as $b) { var_...
  • php使用pdo连接并查询sql数据库的方法
    2020-10-25 00:40
    PHP 6PDO成为了默认的数据库连接方式,而其他非PDO的数据库扩展则被计划移除。PDO的主要目标是提供一个轻量级、清晰且易于使用的API,以便于处理不同数据库系统的共同特性,同时也允许对特定RDBMS的高级功能...
  • PHP使用PDO创建MySQL数据库、表及插入多条数据操作示例
    2020-10-16 21:36
    这些功能使得开发者能灵活地管理数据库,同时,PDO的异常处理机制也提供了好的错误处理和调试支持。在实际开发,根据项目的具体需求,你可以调整这些示例,例如替换数据库连接参数,或者修改数据表结构和插入...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 QTableWidget重绘程序崩溃
  • ¥15 51寻迹小车定点寻迹
  • ¥15 谁能帮我看看这拒稿理由啥意思啊阿啊
  • ¥15 关于vue2中methods使用call修改this指向的问题
  • ¥15 idea自动补全键位冲突
  • ¥15 请教一下写代码,代码好难
  • ¥15 iis10中如何阻止别人网站重定向到我的网站
  • ¥15 滑块验证码移动速度不一致问题
  • ¥15 Utunbu中vscode下cern root工作台中写的程序root的头文件无法包含
  • ¥15 麒麟V10桌面版SP1如何配置bonding