我有这个 PHP SQL 语句:
$updateCategory = "UPDATE category
SET name=".$name.", description=".$description.",
parent=".$parent.", active=".$active."
WHERE id=".$catID."";
写这个的最好方法是什么?
Thanks,
Chris.
我建议您使用准备好的语句,而不是将查询字符串连接在一起:
$sql = 'UPDATE
category
SET
name=:name,
description=:description,
parent=:parent,
active=:active
WHERE
id=:catID';
如果你正在使用PDO http://php.net/pdo,我强烈建议,你可以这样称呼它:
$params = array(
':name' => $name,
':description' => $description,
':parent' => $parent,
':active' => $active,
':catID' => $catID
);
$stmt = $pdo->prepare($sql);
$stmt->execute($params);
你可能会问,“为什么这么麻烦?”这种方法的优点是相当巨大的:
- 您不必关心 SQL 注入,因为数据库驱动程序现在可以处理输入参数的正确转换
- 您不必关心转义特殊字符,但您可以专注于您想要实现的目标,而不是如何实现它:-)
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)