PHP PDO：准备语句问题

Question

是的。所以我使用 PDO lib 来连接数据库（MySQL）并与之通信

所以现在当我示例更新“bla”列的内容时它看起来像这样：

$sql = $connect->prepaer("UPDATE users SET bla='bla' WHERE id = $USER AND age =:age");
$sql->bindValue(":age", $age);
$sql->execute();

现在如果你可以看到我已经绑定了值：age only而不是$USER 。

我已经在所有其他查询中绑定了除 $USER 之外的所有其他值。

$USER 是您登录时使用的用户 ID。

我想知道我是否可以保护 $USER 变量，是否存在某种转义字符串，就像您可以使用 mysql_* (mysql_real_escape_string) 所做的那样？

否则我需要编辑所有查询，并添加 bindValue(:user, $USER)...

Answer 1

好吧，您可能可以使用任何可用的转义函数和方法，但问题是：为什么？当然，找到所有查询可能很麻烦，但我想说，半参数化查询确实很奇怪。请添加绑定即可；）

也就是说，mysql_real_escape_string() 有什么问题？如果您确实想要快速破解，只需将其添加到您的弦乐构建中即可演奏:)。

但同样，只需付出努力来添加绑定即可。请？未来的你会感谢你的。

Answer 2

无论如何，改变用户以使其保持一致是值得的。这可能是额外的工作，但从长远来看这是值得的。

另外，以防万一您不知道 - 您可以将参数数组传递给 Execute 函数，而不是使用 bindValue()。我个人有一个包装数据库类，所以我的更新调用如下所示：

$db->Update("UPDATE users SET bla=? WHERE id=? AND Age=?", array('bla', $USER, Age ））；

在我看来，看起来整洁多了。

然后在我的课堂上，我只是调用 SQL 上的准备和数组参数上的执行。

Answer 3

PDO:quote()，但你能做的最好的事情就是绑定这个值。