撇号丛林

7eumitmz  于 2021-06-18  发布在  Mysql
关注(0)|答案(1)|浏览(302)

这个问题在这里已经有答案了

如何防止php中的sql注入(28个答案)
两年前关门了。
这是一个很简单的问题,但我迷路了!
而不是这样:

'select field1, f2, f3 from obs where id = 2800 order by obs.sort;'

我想要这个:

'select field1, f2, f3 from obs where id = ' $obsid ' order by obs.sort;'

哪里 $obsid 是一个变量。
但当我尝试时,我迷失在撇号丛林中。
我对sql没有太多的经验,而且我的母语不是英语。我真的很想找到一个地方,在那里我可以学习撇号在sql代码。
谢谢您。
尼尔斯的问候

mznpcxlj

mznpcxlj1#

明智的做法是:

$stmt = $dbh->prepare('select field1, f2, f3 from obs where id = ? order by obs.sort');
$stmt->execute([$obsid]);

这个例子是针对php语言和pdo库的。不管你的技术栈是什么,它应该有一个类似的语法。

相关问题