sql - 使用关联数组键时插入 PDO 准备语句中的不需要的字符

问问题 2012-08-05T21:32:35.127

56 次

我创建了一个使用关联数组键的 PDO 语句，但是在执行 SQL 时添加了“\”和“'”，我该如何防止这种情况发生？

这是查询

public function queryUpdateClasses($classesToUpdate,$packageId){
        $sql = "SELECT class.ClassId FROM class JOIN package ON package.PackageId = class.PackageId WHERE class.ClassName = ? AND package.PackageId = ?";
        $query = $this->_conn->prepare($sql);
        foreach($classesToUpdate as $updateKey=>$updateValue){
            echo $updateKey;
            $query->execute(array($updateKey,$packageId));
        }
    }

这是日志文件的输出

98 Query    SELECT class.ClassId FROM class JOIN package ON package.PackageId = class.PackageId WHERE class.ClassName = '\'LogActivityTable\'' AND package.PackageId = '69'

当您$updateKey;回显时，它只显示“LogActivityTable”。

sql - 使用关联数组键时插入 PDO 准备语句中的不需要的字符

0 回答 0

Related

Reference