为什么不能将 MYSQL 函数传递到准备好的 PDO 语句中？

Question

在我看来，以下脚本应该可以工作：

$stmt = $db->prepare("UPDATE table SET status = ?, date_modified = ?");
$stmt->execute(array(1, 'NOW()'));

但是当将 NOW() 传递到准备好的语句中时，什么也没有发生。将 NOW() 替换为实际日期（即 2010-11-23）就可以了。

我无法在网上找到解释。有什么想法吗？

编辑

只是为了进一步澄清并消除问题中的任何混乱，我想实际上将一个变量传递到准备好的语句中，但是，该变量将被设置为 mysql 的五个可能的日期/时间函数之一。

例如

$var = 'NOW()';

$var = 'LAST_DAY(DATE_ADD(CURDATE(), 间隔 1 个月))';

$var = 'LAST_DAY(CURDATE())';

...等等...

准备好的语句变成：

$stmt->execute(array(1, $var));

我知道这会返回相同的 NULL 结果，但我担心如果我简单地将 sql 语句更改为：

更新表设置状态 = ?, date_modified = $var

我要开放自己进行注入吗？

Answer 1

您不需要将 NOW() 作为参数传递，因为无需对其进行任何处理，因为它是内置的 SQL 函数，因此只需将其包含在实际查询中，如下所示。

$stmt = $db->prepare("UPDATE table SET status = ?, date_modified = NOW()");

或者，您可以将 date_modified 设置为 TIMESTAMP 字段，它会自动更新 SQL 更新上的 date_modified 字段。

Answer 2

准备好的语句将您插入其中的所有内容解释为文字字符串。这是为了防止任何类型的不可预测的 SQL 注入。

实际发生的情况是 NOW() 尝试在读取时插入数据库（字面意思是 NOW()），而不是获取要插入的实际日期。然后，它可能在数据库中显示为空白，因为您有一个日期列，它不会将 NOW() 解释为日期，因此不接受它。

如果可能，您应该尝试在不使用任何替换方法的情况下执行 SQL，因为这种方法没有任何危险。

Answer 3

我的猜测是，PDO 假设 'NOW()' 是一个字符串，并在填充查询参数时将其括在引号中。我将使用 PHP 函数 date('Ymd') 传递当前日期，这会给您相同的结果。