1

我正在尝试对 MS-Access 数据库执行简单的选择查询。当然我想防止 SQL 注入,所以我想使用带参数的准备好的语句

$conn = odbc_connect("DRIVER={Microsoft Access Driver (*.mdb, *.accdb)}; DBQ=/path/to/mdb/file.mdb", "ADODB.Connection", "password", SQL_CUR_USE_ODBC);
$res = odbc_prepare($conn, "SELECT * FROM customers WHERE holdingnumber = ?");
odbc_execute($res, array( 20000 ));
$row = odbc_fetch_array($res);
print_r($row);

当我尝试这样做时,我得到一个空警告:

Warning: odbc_execute(): in D:\xampp\htdocs\ZEOnline\test.php on line 5

但是当我在没有参数的情况下执行此操作时(用 20000 替换“?”并从 odbc_execute 中删除数组),它可以工作。

有谁知道为什么这不起作用,或者有没有其他方法可以正确地为 odbc 转义字符串?

PHP版本是5.4.4,MS Access Driver应该是最新版本

4

1 回答 1

0

我很久以前就找到了错误的原因。我看到有人支持这个,所以我现在发布这个:

MS Access 根本不支持准备好的语句!

这有点令人困惑,因为 PHP 实际上允许您使用 odbc_prepare() 调用,只要没有实际参数并且错误消息没有说明任何相关内容。

但是用 MS ACCESS 数据库做准备好的语句是不可能的。

于 2014-06-13T23:33:29.960 回答