-4

可能重复:
如何防止 SQL 注入?

我试图弄清楚如何通过 PDO 执行 SELECT 进行参数化查询,现在我得到了以下代码:

function user_login($username, $password) {
    $conn = connection_getConnection();

    $stmt = $conn->prepare("SELECT `password` FROM `users` WHERE `username` = :username");
    $row = $stmt-> #WHAT DO I DO HERE?
    if (empty($row)) {

    }
}

所以,我在我有点迷失的那条线上发表了评论。请从这里帮助我。

谢谢!

4

1 回答 1

2

PHP 手册有一些很好的例子。

为你:

function user_login($username, $password) {
    $conn = connection_getConnection();

    $sql = "SELECT `password` FROM `users` WHERE `username` = :username";
    $stmt = $conn->prepare($sql, array(PDO::ATTR_CURSOR => PDO::CURSOR_FWDONLY));
    $query = $stmt->execute(array(':username' => $username));
    $rows = $query->fetchAll();
    if (empty($rows)) {

    }
}
于 2012-12-11T02:26:03.737 回答