比如说,我将遵循避免 sql 注入的良好做法。所以这不好:
$query="SELECT id,tag FROM tbl_tags WHERE tag LIKE '%".$tag."%' ORDER BY creation_time DESC LIMIT 0,10 ";
相反,我必须使用参数绑定:
$query="SELECT id,tag FROM tbl_tags WHERE tag LIKE :tag ORDER BY creation_time DESC LIMIT 0,10 ";
$command =Yii::app()->db->createCommand($query);
$command->bindParam(":tag", "%{$tag}%", PDO::PARAM_STR);
$models = $command->queryAll();
但这会产生:致命错误:无法通过引用传递参数 2
我如何绑定这个面向 LIKE 的参数?