4

好奇是否可以准备一个语句,绑定它,然后按如下方式预览生成的 SQL(oci_preview_sql函数是一个占位符):

// Glorious declaration of a non-specific query
$statment = oci_parse($handle, "SELECT x FROM y WHERE variable = :value");

// Bind up some variables
oci_bind_by_name($statement, ':value', $value);
...

// Location of interest
oci_preview_sql($statement); // ? is there some method like this?    

// Execute it
oci_execute($statement, OCI_DEFAULT);
4

1 回答 1

3

oci 支持实际准备好的语句,因此您想知道的查询不存在。在数据库/脚本通信的所有级别,带有占位符的语句以及您发送的参数都是独立的实体,这就是为什么准备好的语句是防止 SQL 注入的重要工具。

于 2010-09-27T18:57:42.840 回答