1

我在 Yii 框架中使用 createCommand ,我想知道使用 bindValue 作为参数,例如:

Yii::app()->db->createCommand()
                            ->update('table', array(
                            'field'=>'$valuefield',
                            ), 'id_table=:id_table', array(':id_table'=>$id_table));

在这种情况下,$valuefield 和 $id_table 的值是受保护的吗?或者我应该手动创建 sql 查询并使用 bindValue 传递参数?

谢谢!

4

1 回答 1

1

在这种情况下,$valuefield 和 $id_table 的值是受保护的吗?

是的。方法update自动绑定在第二个参数中传递的数组值。您还可以手动绑定参数以获取条件。为防止 SQL 注入,请始终使用绑定。

于 2015-07-27T07:05:50.967 回答