0

我目前正在学习参数化查询,因为使用它们有好处。

有人可以通过将此代码块转换为参数化版本来给出一些指示吗?

谢谢。

if(isset($_GET['news_art_id']) && (!empty($_GET['news_art_id'])))
{
    $news_art_id = htmlentities(strip_tags($_GET['news_art_id']));
    $news_art_id = validate_intval($news_art_id);

    //echo $news_art_id;
    $_SESSION['news_art_id'] = $news_art_id;

    // Assign value to status.
    $onstatus = 1;
    settype($onstatus, 'integer');

    $query = 'SELECT M.id, M.j_surname, M.j_points_count, M.j_level, A.j_user_id,A.id, A.jart_title, A.jart_tags, A.jart_description, A.jart_createddate FROM jt_articles A, jt_members M WHERE M.id = A.j_user_id AND A.id = ' . check_db_query_id($news_art_id) . " AND A.jart_status = $onstatus;";

    $result = mysql_query($query) or die('Something went wrong. ' . mysql_error());  
    $artrows = mysql_num_rows($result);
}
4

2 回答 2

3

一般规则是:每个变量都应该绑定,根本没有内联变量。

技术细节: http: //php.net/manual/en/pdo.prepare.php

于 2010-12-16T14:37:53.947 回答
0

在您的情况下没有优势,请记住参数化查询需要对 db 进行 2 次调用:一个用于设置查询模板和解析,另一个用于填充查询模板参数,通常在循环时使用。因此,在这种情况下,您最好调用存储过程(始终是最佳选择)或使用内联 sql 并确保使用http://php.net/manual/en/function.mysql-real-escape-string。 php在适用时。

于 2010-12-16T15:03:44.837 回答