7

我知道这已经被问了 1000 次,但由于某种原因,我继续用头撞墙。

这有效:

$sql = 'SELECT a.eventCode, a.eventTime, a.teamCode, a.playerCode, b.lastName, b.firstName, b.number, a.xCoord, a.yCoord, a.id ';
$sql = $sql . 'FROM events a, players b ';
$sql = $sql . 'WHERE a.regGUID in ( ' . $regGUID . ' ) and ';
$sql = $sql . 'a.playerCode=b.playerCode and a.gameCode = "' . $game . '" order by a.eventTime desc, a.actionCode asc'; 
$stmt = $db->prepare($sql);
$results = $stmt->execute();

这不会:

$sql = 'SELECT a.eventCode, a.eventTime, a.teamCode, a.playerCode, b.lastName, b.firstName, b.number, a.xCoord, a.yCoord, a.id ';
$sql = $sql . 'FROM events a, players b ';
$sql = $sql . 'WHERE a.regGUID in ( :regGUID ) and ';
$sql = $sql . 'a.playerCode=b.playerCode and a.gameCode = :game order by a.eventTime desc, a.actionCode asc'; 
$stmt = $db->prepare($sql);
$stmt->bindValue(':regGUID', $regGUID, PDO::PARAM_STR);
$stmt->bindValue(':game', $game, PDO::PARAM_STR);
$results = $stmt->execute();

我错过了什么?谢谢

4

4 回答 4

5

问题在这里:

$sql = $sql . 'WHERE a.regGUID in ( :regGUID ) and ';
$stmt->bindValue(':regGUID', $regGUID, PDO::PARAM_STR);

我假设 $regGUID 是逗号分隔的引号字符串列表。

每个查询参数只接受一个标量值。不是值列表

所以你有两个选择:

  1. 继续插入 $regGUID 字符串,即使您将参数用于其他标量值。但是您仍然要小心避免 SQL 注入,因此您必须正确形成 $regGUID 字符串。您不能只对整个字符串调用 PDO::quote() ,这会使它成为包含 UUID 和逗号的单引号字符串。您必须确保每个 UUID 字符串都被单独转义和引用,然后将列表内爆在一起并将其插入到 IN 子句中。

    $regGUIDs = explode(',', $regGUID);
$regGUIDs = array_map(function ($g) { return $db->quote($g); }, $regGUIDs);
$regGUID = implode(',', $regGUIDs);
$sql = $sql . 'WHERE a.regGUID in (' . $regGUID . ') and ';

  2. explode()将 $regGUID 放入一个数组中,并为数组中的每个元素添加一个查询参数。插入查询参数占位符的动态列表。

    $regGUIDs = explode(',', $regGUID);
$params = array_fill(1, count($regGUIDs), '?');
$sql = $sql . ' WHERE a.regGUID in ( ' . implode(',', $params) . ' ) and ';

您可以在数组的循环中使用 bindValue(),但请记住,其他参数也应按位置绑定,而不是按名称绑定。当您尝试在同一个查询中混合使用两种不同样式的参数时,PDO 有一些错误会导致它不高兴。

我只是将一组参数值传递给 PDOStatement::execute(),而不是使用 bindValue(),这要容易得多。

$paramValues = $regGUIDs;
$paramValues[] = $game;
$results = $stmt->execute($paramValues);
于 2013-01-19T17:18:49.163 回答
2

这确实被问了 1000 次。

准备好的语句只能接受标量值,不能接受 SQL 查询的任意部分。

您必须使用尽可能多的占位符形成 IN() 语句,您必须放入尽可能多的项目,然后将它们一一绑定。

为了简化这项任务,可以使用一些辅助功能。

比如说,使用SafeMysql 库,这段代码可以写成

$sql  = 'SELECT * FROM events a, players b WHERE regGUID in (?a) and';
$sql .= ' a.playerCode=b.playerCode and a.gameCode = ?s';
$sql .= ' order by a.eventTime desc, a.actionCode asc'; 
$results = $db->getAll($sql,$regGUID,$game);

请注意,它$regGUID应该是一个数组,而不是字符串,并且$results已经包含所有请求的数据,无需任何进一步处理。

于 2013-01-19T17:04:50.390 回答
1

内容是$regGUID什么?由于您使用的是in子句,我怀疑是逗号分隔的列表。

将变量绑定到参数与将字符串替换到查询中不同;这就像告诉 MySQL 如何使用您的实际 PHP 变量。因此,如果您将类似字符串绑定'1,2,3'到查询参数,它会保留为一个字符串,并且不会重新解释为数字列表。

因此,如果$regGUID是类似的东西"'AAA1', 'BBB2'",你的第一个查询变成

... WHERE a.regGUID in ( 'AAA1', 'BBB2' ) ...

但你的第二个查询更像

... WHERE a.regGUID in ( '\'AAA1\', \'BBB2\'' ) ...

这和说的一样

... WHERE a.regGUID = '\'AAA1\', \'BBB2\'' ...
于 2013-01-19T17:06:06.600 回答
1

由于其他人有状态,您只能将单个标量值绑定到占位符。因此,这意味着您实际上需要为IN语句中的每个值设置一个占位符。我通常会执行以下操作。应该注意的是,虽然我从不使用bindValue,所以如果它有关于必须像 Mysqli 这样的引用的规则,那么可能需要修改以下内容:

$regGUIDPlaceholders = array();

// prepare the placeholders
// assume regGUID is an array - if its a string then explode on whatever to make it an array
foreach($regGUID as $k => $v) {
   $placeholder = ':regGUID' . $k;
   $regGUIDPlaceholders[$key] = $value;
}

// prepare the IN statememnt
$in = sprintf('IN (%s)', implode(',', array_keys($regGUIDPlaceholders)));

$sql = 'SELECT a.eventCode, a.eventTime, a.teamCode, a.playerCode, b.lastName, b.firstName, b.number, a.xCoord, a.yCoord, a.id ';
$sql = $sql . 'FROM events a, players b ';

// USE the IN statement dynamically prepared above
$sql = $sql . 'WHERE a.regGUID '. $in . ' and ';

$sql = $sql . 'a.playerCode=b.playerCode and a.gameCode = :game order by a.eventTime desc, a.actionCode asc'; 

$stmt = $db->prepare($sql);

// bind each GUID to its placeholder
foreach($regGUIDPlaceholders as $placeholder => $value) {
   $stmt->bindValue($placeholder, $value, PDO::PARAM_STR);
}

$stmt->bindValue(':game', $game, PDO::PARAM_STR);
$results = $stmt->execute();
于 2013-01-19T17:18:43.353 回答