0

我有一个个人资料页面,我用现在已弃用的 php 代码编写了代码。切换到 PDO 并随我学习。我一直遇到这个问题,我的日期字段不会存储在数据库中。我找到了解决问题的方法(将mysql_real_escape_string添加到日期变量中)但是我被告知这不是 PDO。

我的代码对吗?这是格式化表单提交选项的安全有效方法吗? 

//----------
//--My Submit Statement
//----------

<?php if (isset($_POST['submit'])) { 
$user_id = ( $_POST["user_id"] );
$length = ( $_POST["length"] );
$ground = ( $_POST["ground"] );
$date = mysql_real_escape_string( $_POST["date"]);
$query = "INSERT INTO admin (user_id,`length`,`ground`,`date`) VALUES     $user_id,$length,$ground,'".mysql_real_escape_string($date)."')";
$q = $pdo->prepare($query);
$q->execute(array('user_id'=>$user_id,':length'=>$length,':ground'=>$ground,':date'=>$date));
} 
?>

日期由用户指定。

//----------
//--My Call Statement
//----------

<?php 
$query = "SELECT * FROM admin WHERE user_id = '$userid'";
$q   = $pdo->query($query);
while ($row = $q->fetch()){
?>
//Edited out beginning of table
<tr>
<td><?php echo $row['date']; ?> </td>
<td><?php echo $row['length']; ?><?php if ($selected == 'metric') { echo "cm"; } else { echo "in"; } ?>
</td>
<td><?php echo $row['ground']; ?><?php if ($selected == 'metric') { echo "cm"; } else { echo "in"; } ?>
//Edited out bottom of table
4

1 回答 1

1

PDO(和 MySQLi)带来了准备好的语句和参数绑定,这远远优于查询字符串连接(这是你正在使用的,有点)。

您似乎正在尝试通过调用来进行参数绑定,PDOStatement::execute但您已经将值注入查询字符串并且您没有参数占位符。

这是一个使用占位符的示例

$query = 'INSERT INTO admin (user_id,`length`,`ground`,`date`) VALUES (:user_id, :length, :ground, :date)';
$stmt = $pdo->prepare($query);
$stmt->execute(array(
    ':user_id' => $_POST['user_id'],
    ':length'  => $_POST['length'],
    ':ground'  => $_POST['ground'],
    ':date'    => $_POST['date']
));

您还可以PDOStatement::execute使用单独(而不是在)绑定参数PDOStatement::bindParam,例如

$stmt->bindParam(':user_id', $_POST['user_id']);
$stmt->bindParam(':length', $_POST['length']);
// etc

$stmt->execute();

如果您感兴趣(您应该感兴趣),有很多关于准备好的参数化语句的信息。这些将是一个好的开始

更新

你会想在你的SELECT查询中做同样的事情,例如

$stmt = $pdo->prepare('SELECT * FROM admin WHERE user_id = :user_id');
$stmt->bindParam(':user_id', $user_id);
$stmt->execute();
while ($row = $stmt->fetch(PDO::FETCH_ASSOC)) {
于 2013-09-06T04:13:09.117 回答