1

我是 PHP 新手,我正在尝试让准备好的语句起作用。这是我在大学的最后一年项目,我记得读过准备好的语句是很好的做法,也有利于 SQL 注入。但是,以下代码给了我一个 Server 500 错误。

<?php
    $email = "blah@blah.co.uk";
    $hash = "somerandomhashedpassword";
    $db = new mysqli("localhost", "root", "1234", "UEAnetwork");    
    $sql = "INSERT INTO Students (Email, Password) VALUES (?,?)";
    $stmt = $db->prepare($sql);
    $stmt->bindValue(1, $email);
    $stmt->bindValue(2, $hash);           
    if ($stmt->execute()) {
        echo "You have registered!!!!!!!!!!!!!!!!!!!!!!!!!!!!";
    }
?>

如果我运行以下命令,则会插入一行,所以我很确定我正确连接到数据库。

<?php
    $db = new mysqli("localhost", "root", "1234", "UEAnetwork");    
    $sql = "INSERT INTO Students (Email, Password) VALUES ('blah@blah.co.uk','somerandomhashedpassword')";
    $stmt = $db->prepare($sql);         
    if ($stmt->execute()) {
        echo "You have registered!!!!!!!!!!!!!!!!!!!!!!!!!!!!";
    }
?>

我使用bindValue不正确吗?我已经在许多在线教程中看到它使用这种方式,但我一定做错了什么。

4

1 回答 1

5

mysqli有一个非常不同的 API 比PDO. 没有mysql_stmt::bindValue。您想使用mysql_stmt::bind_param,但语法完全不同:

$stmt->bind_param('ss', $email, $hash);
于 2012-11-26T19:41:46.657 回答