4 
$desc = 'DESC';

$getRecords = $conn->prepare('SELECT * FROM `courses` ORDER BY `id` :sort LIMIT :limitInc, :limit ');

$getRecords->bindValue(':limit',$limit,PDO::PARAM_INT);  // working

$getRecords->bindValue(':limitInc',$limitInc,PDO::PARAM_INT); // working

// *** The line below isn't working ***
$getRecords->bindValue(':sort', $desc ,PDO::PARAM_STR); // not working

$getRecords->execute();

我正在尝试调用$desc我的准备查询..

致命错误:未捕获异常 'PDOException' 并带有消息 'SQLSTATE[42000]:语法错误或访问冲突:1064 您的 SQL 语法有错误;检查与您的 MySQL 服务器版本相对应的手册以获取正确的语法,以便在 C:\xampp\htdocs\portfolio\nasiraan\try\indexx.php:89 中的第 1 行的 ''DESC' LIMIT 0, 5' 附近使用跟踪:#0 C:\xampp\htdocs\portfolio\nasiraan\try\indexx.php(89): PDOStatement->execute() #1 {main} 在 C:\xampp\htdocs\portfolio\nasiraan\try\ 中抛出第 89 行的 indexx.php

我确定解决方案是......从字符串中删除引号$desc......但是如何?

4

4 回答 4

6

恐怕您必须使用文字字符串,因为占位符不能包含诸如用于排序顺序的关键字(以及其他关键字):

$query = sprintf('SELECT * FROM `courses` ORDER BY `id` %s LIMIT :limitInc, :limit ', 
    strcasecmp($desc, 'DESC') === 0 ? 'DESC' : 'ASC')
);
$getRecords = $conn->prepare($query);

以这种方式构建查询并不是那么糟糕,因为只有两个选项。

于 2013-04-05T06:59:07.207 回答
2

参数标记只能用于应出现数据值的地方,不能用于 SQL 关键字、标识符等。

准备语法

您不能将准备好的语句与它一起使用。

  • 如果你想使用简单的绑定值语法,你可以使用

    SELECT * FROM `courses` ORDER BY `id`*:sort LIMIT :limitInc, :limit

然后绑定带符号的数值。但是这个查询不会被 MySQL 优化

  • 如果你想“吞下”错误的顺序,你可以使用@Jack 的解决方案,但是方向错误可能会得到错误的结果。如果顺序很重要,您必须检查两个值:

    strcasecmp($desc, 'DESC') && strcasecmp($desc, 'ASC') ? error() : $desc;

您也可以包装 PDO 并添加特殊方法prepare_ordered($query, $order);或更复杂的东西并在那里进行比较。

或者你可以使用没有问题的外国图书馆。但是你必须学习它的API。

PS我看到你正在使用准备好的语句的模拟。

于 2013-04-05T07:08:40.270 回答
-1

$query = 'SELECT * FROM coursesORDER BY id'.$desc .' 限制 :limit, :limitInc';

$getRecords = $conn->prepare($query); // 将我的查询存储在一个变量名 $query 中,在其中我传递了我的变量.. 所以现在我不需要绑定它..

$getRecords->bindValue(':limit',$limit,PDO::PARAM_INT);

$getRecords->bindValue(':limitInc',$limitInc,PDO::PARAM_INT);

$getRecords->执行();

于 2013-04-05T07:43:32.367 回答
-1

我总是扩展 PDO 并添加一些我自己方便的东西。所以首先你像这样扩展:

<?php

    //Database class
    class db extends Pdo{
        public function __construct(){
            global $conf;
            try
                {   
                    parent::__construct('DBTYPE:dbname=DBNAME;host=DBHOST', 'DBUSER', 'DBPASS');

                        $this->setAttribute(PDO::ATTR_DEFAULT_FETCH_MODE, PDO::FETCH_ASSOC);
                        $this->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
                }
            catch(PDOException $e){
                throw new myPdoException($e);
            }
        }

        public function quest($queryString){
            try
                {
                    $query = $this->query($queryString);

                        return $query;                      
                }
            catch(PDOException $e){
                throw new myPdoException($e);
            }
        }

        public function doPrepare($queryString, $param){
            try
                {
                    $query = $this->prepare($queryString);

                    $query->execute($param);

                        return $query;
                }
            catch(PDOException $e)
            {
                throw new myPdoException($e);
            }
        }

        public function doPrepareBind($queryString, $param){
            try
                {
                    $query = $this->prepare($queryString);

                        foreach($param as $par){
                            switch($par[2]):
                                case 'int':
                                    $query->bindParam($par[0], $par[1], PDO::PARAM_INT);
                                break;

                                case 'str':
                                    $query->bindParam($par[0], $par[1], PDO::PARAM_STR);
                                break;
                                case 'blob':
                                    $query->bindParam($par[0], $par[1], PDO::PARAM_LOB);
                                break;

                                default:
                                    $query->bindParam($par[0], $par[1], PDO::PARAM_STR);
                                break;
                            endswitch;
                        }

                    $query->execute();

                        return $query;
                }
            catch(PDOException $e)
            {
                throw new myPdoException($e);
            }
        }
    }

    class myPdoException extends PdoException{
        private $_debug = DB_DEBUG;

        public function __construct($e){
            parent::__construct($e);

                $this->showException();
        }

        private function showException(){
            if($this->_debug){
                echo
                "<div id='transparant'><div id='error'><br /><br />" . 
                     $this->message
                . "<br /><br /><br /></div></div>";
            }
            else{
                echo    "<div id='transparant'><div id='error'><br /><br />
                            Er is iets mis gegaan, probeer later nog eens.<br />Sorry voor het ongemak.
                        <br /><br /><br /></div></div>";
            }
        }
    }

?>

您会在第 9 行看到一个父构造函数。您必须添加您的数据库信息来代替大写字母。

请注意,DBTYPE 是您正在使用的数据库服务的类型。可能它只是mysql。

现在这就是我在对一系列字符串进行消毒时使用它的方式:

//first include db class I made above.
$db = new db();

$query = "INSERT INTO `database`.`users` (`id`, `naam`, `email`, `pass`, `key`, `status`) VALUES (NULL, :name, :mail, :pass, '$key', '0')";
$param = array(
                    array(':name', $_POST['name']),
                    array(':mail', $_POST['mail']),
                    array(':pass', $pass_hash)
                );
$query = $db->doPrepareBind($query, $param);
于 2013-04-05T07:29:18.440 回答