php pdo 占位符,PHP PDO转义问号所以它不认为它是占位符

于 2021-03-22 09:58:15 发布
阅读量294 收藏
点赞数
文章标签: php pdo 占位符

我有一个看起来像这样的查询:

SELECT CONCAT('path/to/page/?id=', id) AS link FROM users WHERE name = ?

我正在使用PDO准备此声明,我收到错误

Invalid parameter number: number of bound variables does not match number of tokens

因为它认为CONCAT字符串中的问号是占位符.

有没有办法逃避问号,所以PDO知道它不是占位符?

请不要评论其他获取链接的方法.我正在更改旧的模板引擎中的旧代码,因此找到逃避问号的方法比在查询中不添加问号要少得多.

解决方法:

PDO不会被引号内的问号混淆.我只是用PHP 5.5.15测试它.

$sql = "SELECT CONCAT('path/to/page/?id=', id) AS link FROM foo WHERE name = ?;";

$stmt = $pdo->prepare($sql);

$stmt->bindValue(1, 'name');

$stmt->execute();

print_r($stmt->fetchAll());

它工作正常,没有关于错误数量的参数的错误.您的错误是由绑定参数的方式引起的,而不是由SQL语法引起的.

我怀疑你没有向我们展示整个SQL查询,因为没有FROM的WHERE无论如何都是语法错误.因此,您必须拥有尚未向我们展示的其他参数占位符.如果您向我们展示您绑定参数的方式(或将参数传递给execute())也会有所帮助.

标签:php,mysql,pdo,prepared-statement

来源: https://codeday.me/bug/20190624/1277553.html

无我的舞者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php mysql 占位符_PDO中预处理语句占位符的使用
weixin_28676181的博客
01-20 1101
摘要:占位符php程序中有着非常重要的作用,对数据安全也有着非常重要的意义,通过占位符我们可以有效验证传入参数的有效性,从而防止恶意的SQL注入攻击。 使用PDO时不使用预处理语句占位符也可以防止SQL注入,我们可以使用quote()方法来防止SQL注入。quote()为输入的字符串添加引号(如果有需要),并对特殊字符进行转义,且引号的风格和底层驱动适配。虽然quote()可以通过加引号及...
php mysql 占位符_phppdo占位符的使用(代码实例讲解)
weixin_39790686的博客
02-02 133
本篇讲解php pdo占位符的使用。php pdo占位符的使用(代码实例讲解)php pdo的使用防止sql注入$dbms='mysql';//数据库类型$host='localhost';//数据库主机名$dbName='test';//使用的数据库$user='root';//数据库连接用户名$pass='root';//对应的密码$dsn="$dbms:host=$host;dbname=$...
php数据库数据问号,php – 插入数据库后,Unicode字符成为问号
weixin_36259939的博客
03-11 188
当我将一些用Unicode编写的文本插入数据库时​​,它们就成了问号.数据库编码设置为UTF-8.还有什么可能不正确?当我签入phpMyAdmin时,只插入问号!这是我用来连接数据库的代码:define ("DB_HOST", "localhost"); // Set database hostdefine ("DB_USER", "root"); // Set database userdefi...
php mysql 占位符_php操作mysql【mysqli、pdo
weixin_35848310的博客
02-28 620
一、什么是pdoPHP数据对象(PDO)扩展为PHP访问数据库定义了一个轻量级的一致接口。PDO提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据。PDOPHP5.1发行,在PHP5.0的PECL扩展中也可以使用,无法运行于之前的PHP版本。二、安装pdo你可以通过PHPphpinfo()函数来查看是否安装了PDO扩展。【环境中基本上都已经安装了...
mysql gt 转义符_mysql 转义字符
weixin_30212009的博客
02-03 553
在用户提交表单的时候,有的用户会提交一些特殊字符,比如单引号双引号,此时,如果直接按正常字符串插入数据库的话,可能会出现无法正确插入数据库PDO::quote 转义mysql语句中的单引号和双引号PHP为了安全性,所以引入了个magic_quotes_gpc = On的功能,可以不需要做任何处理就能直接把单引号插入数据库中,那么对于Off时,则需要考虑单引号的问题了,而不是一味地信任运行环境。当...
pdo.rar_php pdo
09-24
PDO中,你可以定义一个带有占位符的SQL语句,然后绑定实际值,确保数据被正确且安全地转义。 3. **事务处理**:PDO支持事务,这对于需要执行一系列数据库操作并且要求这些操作要么全部成功要么全部回滚的情况非常...
PHP使用PDO实现mysql防注入功能详解
10-15
但这种方法并非万无一失,因为它只适用于简单的字符串参数,对于复杂的SQL结构和数值型数据,可能不足以防止注入。 3. **使用预处理语句(Prepared Statements)** 预处理语句是PDO更强大的防注入手段。通过`...
php pdo连接数据库操作示例
12-20
PHP PDOPHP Data Objects)是PHP提供的一种数据库访问抽象层,它支持多种数据库系统,如MySQL、PostgreSQL、SQLite等。PDO提供了统一的API(应用程序编程接口),使得开发者可以轻松地在不同数据库之间切换,同时...
php中数据库连接方式pdo和mysqli对比分析
10-24
命名参数的使用在PDO中是一个非常便捷的特性,通过命名参数,开发者可以在准备好的SQL语句中使用命名占位符,然后通过关联数组将参数传递给prepare方法,这样可以提高代码的可读性并且减少混淆。而MySQLi不支持命名...
yii2 pdo mysql 乱码_YII2.0使用PDO连接Oracle库查询结果中文显示乱码问题
weixin_42138716的博客
02-03 298
自己来解答,直接上代码。创建链接测试用小程序如下:namespace app\models;use Yii;use yii\db\ActiveRecord;use \yii\db\Connection;class CmsSyncData extends ActiveRecord{/*** @inheritdoc*/public function attributeLabels(){return [...
参数无效MYSQL,MysQl错误:无效的参数号
weixin_36240219的博客
02-06 983
I get this error :Warning: PDOStatement::execute() [pdostatement.execute]: SQLSTATE[HY093]: Invalid parameter number: number of bound variables does not match number of tokens in /FondManager.class.ph...
PHP MYSQL日常遇到的问题
Su_Xingyu的博客
08-28 896
1. SQLSTATE[HY093]: Invalid parameter number: parameter was not defined. 错误代码:HY093,要么是字段名不匹配,要么是值类型或大小不匹配。 2. 记录mysql group by timestamp字段年月日的方式:DATE_FORMAT(created_at, "%Y-%m-%d" ) SELECT DATE_F...
php pdo占位符的使用
xgs736214763的博客
12-20 3953
小谢博客地址https://xgs888.top/post/view?id=39 php pdo占位符的使用 防止sql注入 $dbms='mysql';//数据库类型 $host='localhost';//数据库主机名 $dbName='test';//使用的数据库 $user='root';//数据库连接用户名 $pass='root';
PHP 处理反斜杠【转义字符处理】
hxmcnu的专栏
09-21 5239
PHP提供了自动在字符串中加入或去除转义字符的函数,在SQL语句中是相当shiyogn
安装yii2时出错 Invalid Parameter – yii\base\InvalidParamException
weixin_30802171的博客
10-29 335
最近composer安装yii2的时候页面报了这个错,应该是bower的前端资源位置改变的缘故! Invalid Parameter – yii\base\InvalidParamException The file or directory to be published does not exist:/var/www/yii/vendor/bower/jquery/dist 解决...
1.怎样对 Get 方式实现 PDO 参数化查询?
最新发布
06-06
首先需要创建一个 PDO 对象并连接到数据库。然后使用 prepare() 方法准备一个带有占位符的 SQL 查询语句,占位符使用冒号(:)加参数名的形式。例如: ``` $stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username AND age > :age'); ``` 接下来,可以使用 bindParam() 或 bindValue() 方法将占位符绑定到实际的值。bindParam() 方法绑定一个参数到一个变量,而bindValue() 方法绑定一个参数到一个值。例如: ``` $username = 'john'; $age = 30; $stmt->bindParam(':username', $username); $stmt->bindValue(':age', $age); ``` 最后,使用 execute() 方法执行查询语句,并使用 fetch() 或 fetchAll() 方法获取查询结果。例如: ``` $stmt->execute(); $results = $stmt->fetchAll(PDO::FETCH_ASSOC); ``` 注意,使用参数化查询可以防止 SQL 注入攻击,因为传递给占位符的值会被正确地转义和引用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值