php sql语句 加参数吗,PHP YII手写带参数sql的执行

以下是一个例子，参数sql的执行，采用绑定参数的方式，这样可以防止注入语句：/*** Add score, true if successful, false if failed.* @param  $userId* @param  $topicId* @param  $score* @param  $msg*/public function addScore($userId,$topicId,$scoreFrom,$score,$msg){try{$curTime =date('Y-m-d H:i:s'); $sql ="insert into user_scores (user_id, topic_id, score_from, score_num, score_message, create_time) ";$sql .=" values (:userId, :topicId, :scoreFrom, :score ,:msg, :create_time)";$connection = Yii::app()->db;$command=$connection->createCommand($sql);$command->bindParam(":userId",$userId,PDO::PARAM_STR);$command->bindParam(":topicId",$topicId,PDO::PARAM_INT);$command->bindParam(":scoreFrom",$scoreFrom,PDO::PARAM_STR);$command->bindParam(":score",$score,PDO::PARAM_INT);$command->bindParam(":msg",$msg,PDO::PARAM_STR);$command->bindParam(":create_time",$curTime);$rowCount=$command->execute();if($rowCount == 1)return true;elsereturn false;}catch(Exception$e){return false;}}

关于PDO属性列表：

PDO::PARAM_BOOL

表示一个布尔类型

PDO::PARAM_NULL

表示一个SQL中的NULL类型

PDO::PARAM_INT

表示一个SQL中的INTEGER类型

PDO::PARAM_STR

表示一个SQL中的SQL CHAR，VARCHAR类型

PDO::PARAM_LOB

表示一个SQL中的large object类型

PDO::PARAM_STMT

表示一个SQL中的recordset类型，还没有被支持

PDO::PARAM_INPUT_OUTPUT

Specifies that the parameter is an INOUT parameter for a stored procedure. You must bitwise-OR this value with an explicit PDO::PARAM_* data type.