我有这个 PDO 包装器
private function cleanup($bind) {
if(!is_array($bind)) {
if(!empty($bind))
$bind = array($bind);
else
$bind = array();
}
return $bind;
}
public function run($sql, $bind="") {
$this->sql = trim($sql);
$this->bind = $this->cleanup($bind);
$this->error = "";
array_push($this->qs, $sql);
try {
$pdostmt = $this->prepare($this->sql);
if($pdostmt->execute($this->bind) !== false) {
if(preg_match("/^(" . implode("|", array("select", "describe", "pragma")) . ") /i", $this->sql))
return $pdostmt->fetchAll(PDO::FETCH_ASSOC);
elseif(preg_match("/^(" . implode("|", array("delete", "insert", "update")) . ") /i", $this->sql))
return $pdostmt->rowCount();
}
} catch (PDOException $e) {
$this->error = $e->getMessage();
$this->debug();
return false;
}
}
自从几年前我开始使用它以来,我没有遇到任何问题,现在我收到一条错误消息,因为字符串没有转义。也许我从来没有处理过这样的场景。
这是导致问题的 SQL 语句
$db->run("SELECT region_id FROM region WHERE name = '$name'");
其中
$name有 2 个错误的假设导致您提出这个问题
不幸的是,这两种假设都是错误的。
事实上,仅 SQL 字符串需要转义。它与 PDO、准备好的语句、安全性等无关。一旦您要将字符串文字放入查询中 - 它必须转义特殊字符。
但一旦你不这样做——逃避就没有好处了。
占位符。整个事情就是这样进行的。 使用占位符告诉 PDO 正确设置相应值的“格式”。虽然这种格式化不仅涉及转义,还涉及更多不同的措施。 所以,它必须是这样的
$db->run("SELECT region_id FROM region WHERE name = :name", array(':name' => $name));
这样 PDO 会将 $name 视为字符串并相应地格式化它。
虽然我不确定“清理”功能是否正常工作以及为什么使用它。
默认情况下,如果您使用普通查询而不是准备好的语句,则 not PDO 不会引用任何内容。但是您可以使用