PHP PDOStatement:bindParam 插入数据错误问题分析

最新推荐文章于 2023-12-27 14:23:55 发布
最新推荐文章于 2023-12-27 14:23:55 发布
阅读量841 收藏
点赞数
分类专栏: MySQL ThinkPHP5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhengzizhi/article/details/76692492
版权

错误的插入操作代码:

<?php

$dbh = new PDO('mysql:host=localhost;dbname=test', "test");

$query = <<<QUERY
  INSERT INTO `user` (`username`, `city`) VALUES (:username, :city);
QUERY;
$statement = $dbh->prepare($query);

$bind_params = array(':username' => "Jason", ':city' => "shanghai");
foreach( $bind_params as $key => $value ){
    $statement->bindParam($key, $value);
}

$statement->execute();


最终执行的SQL是:
INSERT INTO `user` (`username`, `city`) VALUES ("shanghai", "shanghai");

原因是bindParam和bindValue是不同的, bindParam要求第二个参数是一个引用变量(reference).
让我们把上面的代码的foreach拆开, 也就是这个foreach:

代码如下:
<?php
foreach( $bind_params as $key => $value ){
    $statement->bindParam($key, $value);
}

相当于如下代码:
<?php
//第一次循环
$value = $bind_params[":username"];
$statement->bindParam(":username", &$value); //此时, :username是对$value变量的引用

//第二次循环
$value = $bind_params[":city"]; //oops! $value被覆盖成了:city的值
$statement->bindParam(":city", &$value);

所以, 在使用bindParam的时候, 尤其要注意和foreach联合使用的这个陷阱. 那么正确的作法呢?
1. 不要使用foreach, 而是手动赋值

代码如下:
<?php
$statement->bindParam(":username", $bind_params[":username"]); //$value是引用变量了
$statement->bindParam(":city", $bind_params[":city"]);

2. 使用bindValue代替bindParam, 或者直接在execute中传递整个参数数组.

3. 使用foreach和reference(不推荐)
代码如下:
<?php
foreach( $bind_params as $key => &$value ) { //注意这里
    $statement->bindParam($key, $value);
}


zhengzizhi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
php pdo->execute,PHP PDO prepare()、execute()和bindParam()方法詳解
weixin_39963744的博客
03-28 576
PHP PDO prepare()、execute()和bindParam()方法詳解每次將查詢發送給MySQL服務器時,都必須解析該查詢的語法,確保結構正確並能夠執行。這是這個過程中必要的步驟,但也確實帶來了一些開銷。做一次是必要的,但如果反復地執行相同的查詢,批量插入多行並只改變列值時會怎么樣呢?預處理語句會在服務器上緩存查詢的語法和執行過程,而只在服務器和客戶端之間傳輸有變化的列值,以此來消...
PHP PDOStatement:bindParam插入数据错误问题分析
12-19
标题提到的“PHP PDOStatement:bindParam插入数据错误问题分析”,主要涉及到`bindParam()`函数的使用不当导致的数据插入错误。描述中的代码展示了如何尝试使用`bindParam()`来绑定参数并执行SQL插入操作。让我们...
PHP 5.3.6及以前版本的PDObindParam,bindValue潜在的安全隐患
老张的自言自语
04-26 122
  PHP 5.3.6及以前版本的PDObindParam,bindValue潜在的安全隐患   使用PDO的参数化查询时,可以使用bindParam,bindValue为占位符绑定相应的参数或变量, 我们往往使用如下格式: $statement-&gt;bindParam(1, $string); $statement-&gt;bindParam(2, $int, PDO::...
phpbindValue 和 bindParam 的区别
weixin_33964094的博客
04-21 185
// 注意:// bindParam是绑定一个PHP变量到一个SQL参数.是引用方式传递// 所以你可以改变变量值,再执行.就赋给SQL语句不同的值// 注意与bindValue的区别 try {    $sql = 'UPDATE `pdo` set `user` = :user, `email` = :email WHERE `id` = :id';$pre = $dbh-&gt;p...
PHP PDO prepare()、execute()和bindParam()方法详解
deng1228的博客
02-24 206
每次将查询发送给MySql服务器时,都必须解析该查询的语法,确保结构正确并能够执行。这是这个过程的必要步骤,但也确实带来了一些开销。做一次是必要的,但如果反复地执行相同的查询,批量插入多行并只改变列值时会怎么样呢?预处理语句会在服务器上缓存查询的语法和执行过程,而只在服务器和客户端之间传输有变化的列值,以此来消除这些额外的开销。PDO为支持此特性的数据库提供了预处理语句功能。因为MyS...
php pdo bind,PHP PDO bindParam / bindValue多次
weixin_28831461的博客
03-10 139
我在使用ODBC的PDO语句时遇到问题.我在Windows Server 2003和PHP 5.4.x中使用SQL SERVER 7例如:我有查询:(这不是实际的查询,但适用于该示例)$query = SELECT * FROM table WHERE number = :number OR number = :number在我的PHP我有:$conn = new PDO($connectionS...
PHP PDOStatement::execute讲解
12-20
1. **使用`PDOStatement::bindParam()`绑定PHP变量**:这种方法允许你将PHP变量绑定到参数标记上,变量可以用来传递输入值,也可以获取输出值。例如,你可以通过`:calories`和`:colour`这样的命名参数来绑定变量。 ...
sql:SQL命令
02-06
- **绑定参数**:使用`PDOStatement::bindParam()`或`PDOStatement::bindValue()`将变量绑定到占位符。 - **执行**:调用`PDOStatement::execute()`执行预处理语句。 4. **参数化SQL** 参数化SQL与预备语句相关...
PHP实例开发源码-Amysql PHP (AMP).zip
10-15
6. 参数绑定:预处理语句中的参数使用`mysqli_stmt_bind_param()`或`PDOStatement::bindParam()`进行绑定,将变量值安全地插入到SQL语句中。 7. 事务处理:在需要确保一系列数据库操作完整性的场景下,使用`mysqli_...
PHP PDO bindParambindValue 有什么区别
allway2的博客
09-13 662
javascript代码。javascript代码。
php连接数据库之PDOPDO的简单使用和预定义占位符的使用以及PDOStatement对象的使用,占位符的不同形式,bindValue和bindParam绑定预定义占位符参数的区别
m0_63622279的博客
04-20 818
PDO对预处理语句的支持需要使用PDOStatement类对象,但该类对象并不是通过NEW关键字实例化出来的,而是通过PDO对象中的prepare()方法,在数据库服务器中准备好一个预处理的SQL语句后直接返回的。如果通过之前执行PDO对象中的query()方法返回的PDOStatement类对象,只代表的是一个结果集对象。而如果通过执行PDO对象中的prepare()方法产生的PDOStatement类对象,则为一个查询对象,能定义和执行参数化的SQL命令。连接数据库,获取PDO实例对象。
PDOStatement::bindParam的一个陷阱
weixin_30244889的博客
07-21 54
转载:http://www.laruence.com/2012/10/16/2831.html 转载于:https://www.cnblogs.com/spectrelb/p/7219041.html
PDOStatement::bindParam
冷月醉雪的博客
04-14 194
查看更多 https://www.yuque.com/docs/share/1d2e75a8-060b-467c-8d17-88676df2573e
php bind修改数据,PHP PDOStatement:bindParam插入数据错误问题分析
weixin_28947723的博客
03-23 107
PHP PDOStatement:bindParam插入数据错误问题分析发布于 2014-12-21 17:57:38 | 121 次阅读 | 评论: 1 | 来源: 网友投递PDO PHP 数据对象POD是PHP一个扩展,PDO扩展为PHP访问数据库定义了一个轻量级的、一致性的接口,它提供了一个数据访问抽象层,这样,无论使用什么数据库,都可以通过一致的函数执行查询和获取数据。本文为大家讲解的是P...
pdo mysql bindparam_PDOStatement::bindParam的一个陷阱
weixin_35950078的博客
01-25 65
废话不多说, 直接看代码:$dbh = new PDO('mysql:host=localhost;dbname=test', "test");$query = <<INSERT INTO `user` (`username`, `password`) VALUES (:username, :password);QUERY;$statement = $dbh->prepare($...
关于PDOStatement::bindParam 返回为空问题解决办法
最新发布
A86445的博客
12-27 477
返回数组居然为空,百思不得其解,最后发现 bindParam 最后一个参数对$n 并未进行数据转换。手动对数据进行强转,网上看到建议直接对SQL语句进行赋值的,可能会导致SQL注入点产生。
php参数绑定_PHP: PDOStatement::bindParam - Manual
weixin_30765637的博客
03-08 142
The documentation says this about the length parameter for bindParam:"To indicate that a parameter is an OUT parameter from a stored procedure, you must explicitly set the length. "For db2, I found th...
Fatal error: Uncaught Error: Call to undefined method PDOStatement::bind_result() in D:\PHPsever\phpstudy\phpstudy_pro\WWW\qimo_test\main\user\user_sign_check.php on line 22 ( ! ) Error: Call to undefined method PDOStatement::bind_result() in D:\PHPsever\phpstudy\phpstudy_pro\WWW\qimo_test\main\user\user_sign_check.php on line 22 为什么摆错
05-31
这个错误是因为 `PDOStatement` 类并没有 `bind_result` 方法。`bind_result` 方法是属于 mysqli_stmt 类的。如果你想要使用 `bind_result` 方法,你需要使用 mysqli 扩展而不是 PDO 扩展。 如果你已经确定要使用 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值