1. ev
  2. Soru-cevap
  3. pdo-> sorgusu içinde değişken değerler nasıl eklenir

pdo-> sorgusu içinde değişken değerler nasıl eklenir

2012-03-30 14 views
7

Sürekli olarak sql enjekte edilen PDO'yla güncel kodumu yükseltmek istiyorum.pdo-> sorgusu içinde değişken değerler nasıl eklenir

Şu anda bir PDO sorgusunda bir değişken kullanarak takılıyorum. Bu

$rowsPerPage = 3; 

    // by default we show first page 
    $pageNum = 1; 

    if (isset($_GET['page'])) { 
    $pageNum = mysql_real_escape_string($_GET['page']); 
    } 

    $offset = ($pageNum - 1) * $rowsPerPage;

gibi iki argüman var Ve ben varsa ben bu çizgiyi ile değiştirdiğinizde

bu

$STH = $DBH->query("SELECT News.ID, LEFT(NewsText,650), Title, AID, Date, imgID," . 
     "DATE_FORMAT(Date, '%d.%m.%Y.') as formated_date " . 
     "FROM News, Categories, NewsCheck WHERE Name LIKE '%News - Block%' AND CID=Categories.ID AND JID=News.ID ". 
     "ORDER BY `Date` DESC LIMIT $offset, $rowsPerPage");

PDO gibi sorgu BY sorgu SİPARİŞ son satırında bir hata bildirir "ORDER BY Date DESC LIMIT3,3"); her şey çalışıyor.

PDO :: query içinde değişken değerler nasıl eklenir?

Güncel: Teşekkür feryat cevap bu

$STH = $DBH->prepare("SELECT News.ID, LEFT(NewsText,650), Title, AID, Date, imgID," . 
      "DATE_FORMAT(Date, '%d.%m.%Y.') as formated_date " . 
      "FROM News, Categories, NewsCheck WHERE Name LIKE '%News - Block%' AND CID=Categories.ID AND JID=News.ID ". 
      "ORDER BY `Date` DESC LIMIT :offset, :rowsPerPage;"); 

$STH->bindParam(':offset', $offset, PDO::PARAM_STR); 
$STH->bindParam(':rowsPerPage', $rowsPerPage, PDO::PARAM_STR); 

$STH->execute();

gibi kodumu güncelledik Ama hata oluştu:

Fatal error: Uncaught exception 'PDOException' with message 'SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''-3', '3'' at line 1' in /pdo/test.php:42 Stack trace: #0 /pdo/test.php(42): PDOStatement->execute() #1 {main} thrown in /pdo/test..

İkinci Güncelleme bu

gibi PARAM_INT İÇİN PARAM_STR olarak değiştirilmiştir 
$STH->bindParam(':offset', $offset, PDO::PARAM_INT); 
$STH->bindParam(':rowsPerPage', $rowsPerPage, PDO::PARAM_INT);

Her şey çalışıyor. PDO kullanıyor olsalar bile, SQL yerleştirme sizi korumaz Sorgunuzda doğrudan değişkenleri kullanma

$sth = $dbh->prepare('SELECT your_column FROM your_table WHERE column < :parameter'); 
$sth->bindParam(':parameter', $your_variable, PDO::PARAM_STR); 
$sth->execute();

:

kaynak

2012-03-30 BobRock

+0

Sorgu dizesini bir değişkene, var_dump() sonuçlarına atayın ve buradan gönderin. –

cevap

21

Sen hazır deyimleri ve sorgu parametrelerini aşağıdaki gibi kullanmak istiyorum. Parametreler, bunları önlemek için en iyi yoldur.

kaynak

2012-03-30 19:45:17

+0

Bilgi için teşekkürler, ama şimdi kafam karıştı. Sorgu içindeki vars kullanımı beni sql inj'ten korumaz. saldırılar, örneğinizle sql enjeksiyonlarından emin olmalı mıyım? – BobRock

+1

Evet, çünkü benim örneğimde 'PDO: bindParam' işlevini kullanıyorum. 'bindParam' da sorgunuzda özel karakterler olmadığından emin olacaktır. –

+0

bilgi için teşekkürler. Sadece güncellenmiş bir soru. – BobRock

İlgili konular

 İlgili konular