21,893
社区成员
发帖
与我相关
我的任务
分享对于PDO的prepare有一点不理解
prepare 的 bindParam 方法是不是只能绑定参数?有没有别的什么办法可以绑定表名啊列名啊这些的?
像 $query='select :column from :table'这样的?
我因为数据库操作写在类里了,想要不同的表也可以套用,听说用param可以防注入,本来以为表名什么的也可以做参数传进去,但试了一下发现不行。那是不是代表读一个表就要写一次$query?这样的话那也不是很实用啊。。
像 $query='select :column from :table'这样的?
我因为数据库操作写在类里了,想要不同的表也可以套用,听说用param可以防注入,本来以为表名什么的也可以做参数传进去,但试了一下发现不行。那是不是代表读一个表就要写一次$query?这样的话那也不是很实用啊。。
...全文
请发表友善的回复…
发表回复
张吉Jerry 2011-02-18
- 打赏
- 举报
param的确可以防注入,但楼主怎么会需要根据用户输入的数据来指定表名或字段名呢?
如果需要重用SQL,楼主可以自己编写一个类,将语句封装起来,如:
如果楼主实在不想写SQL,可以用一些框架,如kohana,它提供了Query Builder功能:
如果需要重用SQL,楼主可以自己编写一个类,将语句封装起来,如:
class MyClass
{
protected $pdo;
public function prepare($table)
{
return $pdo->prepare('SELECT * FROM `' . $table . '`');
}
}如果楼主实在不想写SQL,可以用一些框架,如kohana,它提供了Query Builder功能:
$query = DB::select()->from('users')->where('username', '=', 'john');
$result = $query->execute();
