Oct 12 PDOStatement::bindParam的一个陷阱

最新推荐文章于 2023-12-27 14:23:55 发布
最新推荐文章于 2023-12-27 14:23:55 发布
阅读量350 收藏
点赞数
分类专栏: PHP 文章标签: bindValue foreach PDOStatementbindPara reference

废话不多说, 直接看代码:

<ol><li><span class="sh_symbol"><?php</span></li><li><span class="sh_variable">$dbh</span> <span class="sh_symbol">=</span> <span class="sh_keyword">new</span> <span class="sh_function">PDO</span><span class="sh_symbol">(</span><span class="sh_string">'mysql:host=localhost;dbname=test'</span><span class="sh_symbol">,</span> <span class="sh_string">"test"</span><span class="sh_symbol">);</span></li><li> </li><li><span class="sh_variable">$query</span> <span class="sh_symbol">=</span> <span class="sh_symbol"><<<</span>QUERY</li><li>  INSERT INTO `user` <span class="sh_symbol">(</span>`username`<span class="sh_symbol">,</span> `password`<span class="sh_symbol">)</span> <span class="sh_function">VALUES</span> <span class="sh_symbol">(:</span>username<span class="sh_symbol">,</span> <span class="sh_symbol">:</span>password<span class="sh_symbol">);</span></li><li>QUERY<span class="sh_symbol">;</span></li><li><span class="sh_variable">$statement</span> <span class="sh_symbol">=</span> <span class="sh_variable">$dbh</span><span class="sh_symbol">-></span><span class="sh_function">prepare</span><span class="sh_symbol">(</span><span class="sh_variable">$query</span><span class="sh_symbol">);</span></li><li> </li><li><span class="sh_variable">$bind_params</span> <span class="sh_symbol">=</span> <span class="sh_keyword">array</span><span class="sh_symbol">(</span><span class="sh_string">':username'</span> <span class="sh_symbol">=></span> <span class="sh_string">"laruence"</span><span class="sh_symbol">,</span> <span class="sh_string">':password'</span> <span class="sh_symbol">=></span> <span class="sh_string">"weibo"</span><span class="sh_symbol">);</span></li><li><span class="sh_keyword">foreach</span><span class="sh_symbol">(</span> <span class="sh_variable">$bind_params</span> <span class="sh_keyword">as</span> <span class="sh_variable">$key</span> <span class="sh_symbol">=></span> <span class="sh_variable">$value</span> <span class="sh_symbol">)</span><span class="sh_cbracket">{</span></li><li>    <span class="sh_variable">$statement</span><span class="sh_symbol">-></span><span class="sh_function">bindParam</span><span class="sh_symbol">(</span><span class="sh_variable">$key</span><span class="sh_symbol">,</span> <span class="sh_variable">$value</span><span class="sh_symbol">);</span></li><li><span class="sh_cbracket">}</span></li><li><span class="sh_variable">$statement</span><span class="sh_symbol">-></span><span class="sh_function">execute</span><span class="sh_symbol">();</span></li></ol>

请问, 最终执行的SQL语句是什么, 上面的代码是否有什么问题?

Okey, 我想大部分同学会认为, 最终执行的SQL是:

<ol><li><span class="sh_keyword">INSERT</span> <span class="sh_keyword">INTO</span> <span class="sh_string">`user`</span> <span class="sh_symbol">(</span><span class="sh_string">`username`</span><span class="sh_symbol">,</span> <span class="sh_string">`password`</span><span class="sh_symbol">)</span> <span class="sh_keyword">VALUES</span> <span class="sh_symbol">(</span><span class="sh_string">"laruence"</span><span class="sh_symbol">,</span> <span class="sh_string">"weibo"</span><span class="sh_symbol">);</span></li></ol>

但是, 可惜的是, 你错了, 最终执行的SQL是:

<ol><li><span class="sh_keyword">INSERT</span> <span class="sh_keyword">INTO</span> <span class="sh_string">`user`</span> <span class="sh_symbol">(</span><span class="sh_string">`username`</span><span class="sh_symbol">,</span> <span class="sh_string">`password`</span><span class="sh_symbol">)</span> <span class="sh_keyword">VALUES</span> <span class="sh_symbol">(</span><span class="sh_string">"weibo"</span><span class="sh_symbol">,</span> <span class="sh_string">"weibo"</span><span class="sh_symbol">);</span></li></ol>

是不是很大的一个坑呢?

—— 如果你想自己找到原因, 那么就不要继续往下读了———

这个问题, 来自今天的一个Bug报告: #63281

究其原因, 也就是bindParam和bindValue的不同之处, bindParam要求第二个参数是一个引用变量(reference).

让我们把上面的代码的foreach拆开, 也就是这个foreach:

<ol><li><span class="sh_symbol"><?php</span></li><li><span class="sh_keyword">foreach</span><span class="sh_symbol">(</span> <span class="sh_variable">$bind_params</span> <span class="sh_keyword">as</span> <span class="sh_variable">$key</span> <span class="sh_symbol">=></span> <span class="sh_variable">$value</span> <span class="sh_symbol">)</span><span class="sh_cbracket">{</span></li><li>    <span class="sh_variable">$statement</span><span class="sh_symbol">-></span><span class="sh_function">bindParam</span><span class="sh_symbol">(</span><span class="sh_variable">$key</span><span class="sh_symbol">,</span> <span class="sh_variable">$value</span><span class="sh_symbol">);</span></li><li><span class="sh_cbracket">}</span></li></ol>

相当于:

<ol><li><span class="sh_symbol"><?php</span></li><li><span class="sh_comment">//第一次循环</span></li><li><span class="sh_variable">$value</span> <span class="sh_symbol">=</span> <span class="sh_variable">$bind_params</span><span class="sh_symbol">[</span><span class="sh_string">":username"</span><span class="sh_symbol">];</span></li><li><span class="sh_variable">$statement</span><span class="sh_symbol">-></span><span class="sh_function">bindParam</span><span class="sh_symbol">(</span><span class="sh_string">":username"</span><span class="sh_symbol">,</span> <span class="sh_symbol">&</span><span class="sh_variable">$value</span><span class="sh_symbol">);</span> <span class="sh_comment">//此时, :username是对$value变量的引用</span></li><li> </li><li><span class="sh_comment">//第二次循环</span></li><li><span class="sh_variable">$value</span> <span class="sh_symbol">=</span> <span class="sh_variable">$bind_params</span><span class="sh_symbol">[</span><span class="sh_string">":password"</span><span class="sh_symbol">];</span> <span class="sh_comment">//oops! $value被覆盖成了:password的值</span></li><li><span class="sh_variable">$statement</span><span class="sh_symbol">-></span><span class="sh_function">bindParam</span><span class="sh_symbol">(</span><span class="sh_string">":password"</span><span class="sh_symbol">,</span> <span class="sh_symbol">&</span><span class="sh_variable">$value</span><span class="sh_symbol">);</span></li></ol>

所以, 在使用bindParam的时候, 尤其要注意和foreach联合使用的这个陷阱. 那么正确的作法呢?

1. 不要使用foreach, 而是手动赋值

<ol><li><span class="sh_symbol"><?php</span></li><li><span class="sh_variable">$statement</span><span class="sh_symbol">-></span><span class="sh_function">bindParam</span><span class="sh_symbol">(</span><span class="sh_string">":username"</span><span class="sh_symbol">,</span> <span class="sh_variable">$bind_params</span><span class="sh_symbol">[</span><span class="sh_string">":username"</span><span class="sh_symbol">]);</span> <span class="sh_comment">//$value是引用变量了</span></li><li><span class="sh_variable">$statement</span><span class="sh_symbol">-></span><span class="sh_function">bindParam</span><span class="sh_symbol">(</span><span class="sh_string">":password"</span><span class="sh_symbol">,</span> <span class="sh_variable">$bind_params</span><span class="sh_symbol">[</span><span class="sh_string">":password"</span><span class="sh_symbol">]);</span></li></ol>

2. 使用bindValue代替bindParam, 或者直接在execute中传递整个参数数组.

3. 使用foreach和reference(不推荐, 原因参看:微博)

<ol><li><span class="sh_symbol"><?php</span></li><li><span class="sh_keyword">foreach</span><span class="sh_symbol">(</span> <span class="sh_variable">$bind_params</span> <span class="sh_keyword">as</span> <span class="sh_variable">$key</span> <span class="sh_symbol">=></span> <span class="sh_symbol">&</span><span class="sh_variable">$value</span> <span class="sh_symbol">)</span> <span class="sh_cbracket">{</span> <span class="sh_comment">//注意这里</span></li><li>    <span class="sh_variable">$statement</span><span class="sh_symbol">-></span><span class="sh_function">bindParam</span><span class="sh_symbol">(</span><span class="sh_variable">$key</span><span class="sh_symbol">,</span> <span class="sh_variable">$value</span><span class="sh_symbol">);</span></li><li><span class="sh_cbracket">}</span></li></ol>
最后, 展开了说, 对于要求参数是引用, 并且有滞后处理的函数, 都要在使用foreach的时候, 谨慎!
那年夏天KEEP
关注
专栏目录
SQLBindParameter 函数的参数解析及使用方法
u013187074的博客
10-22 1万+
以下资料均找自网上开源代码。 1 参数绑定API     执行参数化查询,需要将语句中各个参数对应的变量缓存,与Statement句柄实现绑定。     用于绑定参数的ODBC API函数: SQLRETURN SQLBindParameter(       SQLHSTMT        StatementHandle,     // statement句柄      
DATETIME SQLBindParameter
hbyh的专栏
05-06 4245
// OK的 TIMESTAMP_STRUCT ts; ts.year= 2002; ts.month= 12; ts.day= 7; ts.hour= 1; ts.minute= 47; ts.second= 59; ts.fraction= 0; SQLRETURN retcode = SQLBindParameter(hStmt, 1, SQL_PARAM_INPUT, SQL_C_TIME
关于PDOStatement::bindParam 返回为空问题解决办法
A86445的博客
12-27 512
返回数组居然为空,百思不得其解,最后发现 bindParam 最后一个参数对$n 并未进行数据转换。手动对数据进行强转,网上看到建议直接对SQL语句进行赋值的,可能会导致SQL注入点产生。
pdo mysql bindparam_PDOStatement::bindParam的一个陷阱
weixin_35950078的博客
01-25 79
废话不多说, 直接看代码:$dbh = new PDO('mysql:host=localhost;dbname=test', "test");$query = <<INSERT INTO `user` (`username`, `password`) VALUES (:username, :password);QUERY;$statement = $dbh->prepare($...
PDOStatement::bindParam的一个陷阱
chouhu8387的博客
08-22 113
<?php $dbh = new PDO('mysql:host=localhost;dbname=testdb', "dog","1234"); $query = "INSERT INTO user(name, password) VALUES (:name, :passwor...
pdo mysql bindparam_PDOStatement::bindParam
weixin_30310209的博客
01-19 133
PDOStatement::bindParamPDOStatement::bindParam — 绑定一个参数到指定的变量名(PHP 5 >= 5.1.0, PECL pdo >= 0.1.0)说明语法bool PDOStatement::bindParam ( mixed $parameter , mixed &$variable [, int $data_type = PD...
PHP PDOStatement::bindParam讲解
10-17
PDOStatement::bindParam是PHP中PDO扩展提供的预处理语句对象的一个方法,它用于将参数绑定到PHP变量。通过这种绑定,可以在预处理语句执行时将变量的值传递给SQL语句中的占位符,从而提高SQL语句的安全性,防止SQL...
PHP PDOStatement:bindParam插入数据错误问题分析
10-26
在PHP开发中,PDOStatement对象的bindParam方法是一个非常重要的功能,用于绑定参数到预处理语句中。然而,如果不正确使用,它可能导致意想不到的错误,就像在标题和描述中提到的问题。这里我们将深入探讨bindParam...
PHP PDOStatement::fetchAll讲解
10-17
PDOStatement::fetchAll是PHP中的一个函数,属于PDO扩展库,用于获取一个PDOStatement对象准备好的语句执行后所有结果集中的行。该函数返回一个数组,包含结果集中所有的行,每一行要么是一个列值的数组,要么是一个...
PDOStatement::bindParam
冷月醉雪的博客
04-14 211
查看更多 https://www.yuque.com/docs/share/1d2e75a8-060b-467c-8d17-88676df2573e
PDOStatement::bindParam() 和 foreach陷阱
echo
07-30 1765
在使用PDO封装数据操作类的时候,我使用了PDOStatementbindParam()函数,代码如下: 这里我使用了foreach遍历传进来的$arr!测试时候PDOStatement::queryString输出正确,bindParam()函数返回true,但是execute的时候就是false,花了一个下午的时间测试,发现如果arr中的arr 中的 value 全是 1、 ‘123’ 这种
mysql绑定参数bind_param原理以及防SQL注入
热门推荐
wusuopuBUPT的专栏
07-31 4万+
原文地址 :http://hi.baidu.com/woyigui/item/afc6ec2efaa49f0f73863e2e 绑定参数原理以及SQL注入.. 假设我们的用户表中存在一行.用户名字段为username.值为aaa.密码字段为pwd.值为pwd.. 下面我们来模拟一个用户登录的过程.. $username = "aaa";  $pwd = "pwd
大学生职业生涯规划书Word模板范文就业求职简历应聘工作PPT医疗康复专业
最新发布
10-12
大学生职业生涯规划书Word模板范文就业求职简历应聘工作PPT医疗康复专业
基于Java的学生信息管理系统的实现与操作
10-12
本文介绍了一个Java实现的小型系统 -- 学生信息管理系统,包括学生数据的增删查改四个主要操作的功能演示,并具体讲解了涉及三个核心类(Student.java、StudentManager.java、StudentFrame.java)的设计思想以及代码逻辑。适合Java初学者用来了解面向对象的概念应用以及Swing工具包进行GUI创建的基础方法和步骤。系统通过提供文本框用于输入学生ID和其他必要信息,并提供按钮来执行对应指令,显示栏展示查询结果显示,使操作变得更为简洁直观有效。 适用于初步掌握Java基础的开发者,特别是想要加强自己对面向对象编码思维理解和运用的同学。 使用此管理系统可以在本地电脑环境上进行学生的数据维护工作(如增删改查),提高学校教务工作者处理信息的效率。 除了基本的数据录入和搜索之外,该项目也帮助理解如何设计合理的模型类并使用集合存储大量数据元素,另外还介绍了如何通过事件监听的方式绑定用户行为和应用程序之间的交互流程。
基于单片机控制的填块切割装置的设计_孟紫腾.pdf
10-12
基于单片机控制的填块切割装置的设计_孟紫腾
Fatal error: Uncaught Error: Call to undefined method PDOStatement::bind_result() in D:\PHPsever\phpstudy\phpstudy_pro\WWW\qimo_test\main\user\user_sign_check.php on line 22 ( ! ) Error: Call to undefined method PDOStatement::bind_result() in D:\PHPsever\phpstudy\phpstudy_pro\WWW\qimo_test\main\user\user_sign_check.php on line 22 为什么摆错
05-31
在这个示例中,我们使用 `prepare` 方法来准备 SQL 查询语句,然后使用 `execute` 方法来执行查询,并传递一个参数数组。最后,我们使用 `fetch` 方法将结果集中的第一行作为关联数组返回,并赋值给 `$user` 变量。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值