大家好:我想参数化我的查询,创建一个函数来接收我的查询、连接和数组,参数用“?”表示。我的职能是:
receiveQuery($query, $mysqli1, $array1)我读过有关sql注入的文章,我想知道这是否是避免这些问题的正确方法。我计划使用此功能插入,删除,更新和选择。另外,我希望你能指导我如何创建一些更好的处理多个参数,因为目前我正在使用一个开关。但每次我需要更多的参数,我增加开关,我想创建它的DINAMICAL。
SWITCH ($array1Length)任何评论都是有帮助的,敬礼。费利佩
<?php
$mysqli1 = openConn();
$query = "INSERT INTO tblTest (field1 , field2 ) VALUES (?,?)";
$array1 = array($value1, $value2);
$result = receiveQuery($query, $mysqli1, $array1);
if($stmt->affected_rows == 1)
{
$success = "Success.";
}
if($stmt->affected_rows == -1)
{
$error = "Error.";
}
closeConn($stmt);
closeConn($mysqli1);
function openConn()
{
$mysqli1 = new mysqli('localhost', 'userTest', '123', 'dbTest');
if ($mysqli1->connect_error) {
die('Connect Error (' . $mysqli1->connect_errno . ') '
. $mysqli1->connect_error);
}
return $mysqli1;
}
function receiveQuery($query, $mysqli1, $array1)
{
global $stmt;
$stmt = $mysqli1->prepare($query);
if (false===$stmt)
{
echo $mysqli1->error;
die('Error');
}
$array1Length = count($array1);
SWITCH ($array1Length)
{
CASE 0: break;
CASE 1: $stmt->bind_param("s" , $array1[0]) ;break;
CASE 2: $stmt->bind_param("ss" , $array1[0],$array1[1]) ;break;
CASE 3: $stmt->bind_param("sss" , $array1[0],$array1[1],$array1[2]) ;break;
CASE 4: $stmt->bind_param("ssss", $array1[0],$array1[1],$array1[2],$array1[3]);break;
DEFAULT : echo "Error";
}
$stmt->execute();
$result = $stmt->get_result();
return $result;
}
function closeConn($mysqli1)
{
$mysqli1->close();
}
?>
2条答案
按热度按时间ktca8awb1#
我想参数化我的查询,创建一个函数来接收我的查询,连接和数组,参数表示为“?”
我的建议是,您应该使用pdo,而不是当前使用的mysqli。pdo更容易学习,可以轻松满足您当前的需求。
以下是你将如何与pdo一起做到这一点。
页面.php
另一页.php
要了解更多关于pdo的信息,请访问以下网站:https://phpdelusions.net/pdo
5hcedyr02#
您应该能够在阵列上使用splat操作符。
https://secure.php.net/manual/en/migration56.new-features.php