PDO 参数化查询的工作方式

Question

请仔细阅读问题。这不是通常的愚蠢“我的代码不起作用！！！”问题。

当我运行此代码并出现预期错误时，

try {
  $sth = $dbh->prepare("SELECT id FROM users WHERE name INN(?,?) ");
  $sth->execute(array("I'm","d'Artagnan"));
} catch (PDOException $e) {
    echo $e->getMessage();
}

我收到此错误消息

您的 SQL 语法有错误...第 1 行的 'INN('I\'m','d\'Artagnan')' 附近

但我多年来一直认为查询和数据会单独发送到服务器，但从来没有干扰。因此我有一些问题（尽管我怀疑有人得到答案......）

1. 它从哪里得到如此熟悉的字符串表示形式 - 引用和转义？它是专门为了报告错误还是实际查询的一部分？
2. 实际情况如何？它是否用数据替换占位符？
3. 有没有办法获取整个查询，而不仅仅是其中的一小部分，以进行调试？

更新

mysqli 按预期执行：它抛出一个错误，显示 near 'INN(?,?)'

Answer 1

我不确定所有细节，但我会尽力回答。

1. 引用发生在数据库端。数据库转义并清理它接收到的所有值（参见项目符号 2），以便正确解释。
   抛出错误时，数据库（在本例中为 MySQL）会打印出它尝试运行的查询。如果它只是显示准备好的部分，那么这不会有太大帮助。

2. 不，事实并非如此。在准备时，查询在服务器端进行编译。当使用值执行查询时，仅传输值。这与直接在数据库上调用 PREPARE 和 EXECUTE 几乎相同。

3. 这取决于您使用的数据库。例如，MySQL 可以将所有查询记录到日志文件中（检查 my.cnf 设置）。但您也可以在 PHP 端使用 debugDumpParams() 。

我希望这有点帮助。

Answer 2

尝试添加

$dbh->setAttribute( PDO::ATTR_EMULATE_PREPARES, false );

；）