0

我是 PDO 的新手,我编写了这段代码。但这段代码不安全。

function update_user($update_data) {
global $pdo;

$update = array();

foreach($update_data as $field=>$data){
$update[] = '`'. $field.'` = \''. $data.'\''; 
}
$query = $pdo->prepare("UPDATE users SET " . implode(', ', $update) ."WHERE user_id = " .$_SESSION['user_id']);
$query->execute();

}

我向互联网询问此代码并变成这样:

function update_user($update_data) {
global $pdo;
$sql = "UPDATE users SET ".pdoSet($update_data,$values)." WHERE id = :id";
$stm = $pdo->prepare($sql);
$values["id"] = $_SESSION['user_id'];
$stm->execute($values);

}

但是,我不知道我必须在函数 pdoSet 中写什么。对不起,当我的英语不太好时。

4

1 回答 1

0

我在其他答案中使用了此功能,因为它存在于我链接的 PDO 标记 wiki 中。
不过好吧,我可以把它贴在这里给你。 

function pdoSet($fields, &$values, $source = array()) {
  $set = '';
  $values = array();
  if (!$source) $source = &$_POST;
  foreach ($fields as $field) {
    if (isset($source[$field])) {
      $set.="`".str_replace("`","``",$field)."`". "=:$field, ";
      $values[$field] = $source[$field];
    }
  }
  return substr($set, 0, -2); 
}

此功能旨在使插入更容易和更安全。但是,如果您不熟悉使用函数,最好从上一个答案中选择其他解决方案。

于 2013-03-03T16:14:37.523 回答