Sürekli olarak sql enjekte edilen PDO'yla güncel kodumu yükseltmek istiyorum.pdo-> sorgusu içinde değişken değerler nasıl eklenir
Şu anda bir PDO sorgusunda bir değişken kullanarak takılıyorum. Bu
$rowsPerPage = 3;
// by default we show first page
$pageNum = 1;
if (isset($_GET['page'])) {
$pageNum = mysql_real_escape_string($_GET['page']);
}
$offset = ($pageNum - 1) * $rowsPerPage;
gibi iki argüman var Ve ben varsa ben bu çizgiyi ile değiştirdiğinizde
bu
$STH = $DBH->query("SELECT News.ID, LEFT(NewsText,650), Title, AID, Date, imgID," .
"DATE_FORMAT(Date, '%d.%m.%Y.') as formated_date " .
"FROM News, Categories, NewsCheck WHERE Name LIKE '%News - Block%' AND CID=Categories.ID AND JID=News.ID ".
"ORDER BY `Date` DESC LIMIT $offset, $rowsPerPage");
PDO gibi sorgu BY sorgu SİPARİŞ son satırında bir hata bildirir "ORDER BY Date DESC LIMIT3,3");
her şey çalışıyor.
PDO :: query içinde değişken değerler nasıl eklenir?
Güncel: Teşekkür feryat cevap bu
$STH = $DBH->prepare("SELECT News.ID, LEFT(NewsText,650), Title, AID, Date, imgID," .
"DATE_FORMAT(Date, '%d.%m.%Y.') as formated_date " .
"FROM News, Categories, NewsCheck WHERE Name LIKE '%News - Block%' AND CID=Categories.ID AND JID=News.ID ".
"ORDER BY `Date` DESC LIMIT :offset, :rowsPerPage;");
$STH->bindParam(':offset', $offset, PDO::PARAM_STR);
$STH->bindParam(':rowsPerPage', $rowsPerPage, PDO::PARAM_STR);
$STH->execute();
gibi kodumu güncelledik Ama hata oluştu:
Fatal error: Uncaught exception 'PDOException' with message 'SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''-3', '3'' at line 1' in /pdo/test.php:42 Stack trace: #0 /pdo/test.php(42): PDOStatement->execute() #1 {main} thrown in /pdo/test..
İkinci Güncelleme bu
gibi PARAM_INT İÇİN PARAM_STR olarak değiştirilmiştir$STH->bindParam(':offset', $offset, PDO::PARAM_INT);
$STH->bindParam(':rowsPerPage', $rowsPerPage, PDO::PARAM_INT);
Her şey çalışıyor. PDO kullanıyor olsalar bile, SQL yerleştirme sizi korumaz Sorgunuzda doğrudan değişkenleri kullanma
$sth = $dbh->prepare('SELECT your_column FROM your_table WHERE column < :parameter');
$sth->bindParam(':parameter', $your_variable, PDO::PARAM_STR);
$sth->execute();
:
Sorgu dizesini bir değişkene, var_dump() sonuçlarına atayın ve buradan gönderin. –