3

这行代码中的 $1 和 $2 是什么意思?它们是变量吗?但是如何在字符串中使用它们呢?

$query = "select * from php_project.student where student_num=$1 and student_pass=$2";

编辑:这是接下来的几行:

        $stmt = pg_prepare($dbconn,"ps",$query);
        $result = pg_execute($dbconn,"ps",array($studentnum,$password));
        if (!$result){
            die("error in SQL query:".pg_last_error());
        }
4

1 回答 1

7

$1 和 $2 不是变量。它们被用作字符串中的占位符。

在 PHP 中 $(number first) 不是变量。自己试试:

$1 = "bob";
>> Parse error: syntax error, unexpected T_LNUMBER, expecting T_VARIABLE or '$' in php shell code on line 1

所以“$1”实际上是一个表示“$1”的字符串。

你可以使用 str_replace,得到这个:

php > echo str_replace("$1", "'Bob'", $query);
>> select * from php_project.student where student_num='Bob' and student_pass=$2

更新

根据您的更新, pg_prepare 实际上是这样说的:

如果使用了任何参数,它们在查询中被称为 $1、$2 等。

因此,在您的情况下,array($studentnum,$password)在您的查询中,基本上将 $1 替换为 '$studentnum' 和 $2 替换为 '$password',但也会正确转义值以防止 SQL 注入攻击。

http://php.net/manual/en/function.pg-prepare.php

于 2013-04-02T01:34:47.123 回答