了解如何在 Adodb 中绑定参数和插入数据

Question

有人告诉我使用绑定参数，以便我可以将包含引号的文本插入到我的数据库中。但是，当谈到如何执行此操作时，我很困惑，这些命令对我来说似乎很混乱。

那么，如果我有一个包含 html 的 php 字符串，我如何使用绑定参数将其插入到我的数据库中？

我想插入它，我该怎么做？

$str = '<div id="test"><a href="#">Test string in db</a></div> string content';

我被告知要使用类似的东西：

$rs = $db->Execute('select * from table where val=?', array('10'));

Answer 1

我已经有一段时间没有使用 ADODB 了，但我相信这应该可行，不是吗？

$str = '<div id="test"><a href="#">Test string in db</a></div> string content';
$rs = $db->Execute('select * from table where val=?', array($str));

Answer 2

SQL 中的 ? 用作绑定到语句的值的占位符。

执行时，ADO 正在执行（给定您的示例）

select * from table where val=10

您应该能够大致如下构建插入 SQL：

INSERT INTO `table` (`col1`, `col2` ...) VALUES(?, ? ...)

传入您的值（以正确的顺序）将呈现适当的查询。

Answer 3

使用 mysql_real_escape_string 应该也可以这样做，它会自动转义引号，然后您可以将数据插入数据库，请考虑以下示例：

$str = '<div id="test"><a href="#">Test string in db</a></div> string content';
$str_escaped = mysql_real_escape_string($str);

现在您可以安全地使用 $str_escaped 变量将数据插入数据库。此外，它对于防止 SQL 注入攻击也很有用。

Answer 4

改编自CodeIgniter框架：

function compile_binds($sql, $binds)
{
    if (strpos($sql, '?') === FALSE)
    {
        return $sql;
    }

    if ( ! is_array($binds))
    {
        $binds = array($binds);
    }

    // Get the sql segments around the bind markers
    $segments = explode('?', $sql);

    // The count of bind should be 1 less then the count of segments
    // If there are more bind arguments trim it down
    if (count($binds) >= count($segments)) {
        $binds = array_slice($binds, 0, count($segments)-1);
    }

    // Construct the binded query
    $result = $segments[0];
    $i = 0;
    foreach ($binds as $bind)
    {
        $result .= mysql_real_escape_string($bind);
        $result .= $segments[++$i];
    }

    return $result;
}

那么你可以有一个函数：

function query($sql, $binds)
{
    return $db->Execute(compile_binds($sql, $binds));
}

$query = query('select * from table where val=?', array('10'));