PHP 手册中有这个 PDO bindParam 语句的示例:
<?php
/* Execute a prepared statement by binding PHP variables */
$calories = 150;
$colour = 'red';
$sth = $dbh->prepare('SELECT name, colour, calories
FROM fruit
WHERE calories < :calories AND colour = :colour');
$sth->bindParam(':calories', $calories, PDO::PARAM_INT);
$sth->bindParam(':colour', $colour, PDO::PARAM_STR, 12);
$sth->execute();
?>
: 冒号只是表示:colour 是一个参数吗?
【问题讨论】:
映射到查询中的命名占位符。绑定不需要,如果不存在,驱动程序会自动添加。
在你的代码中
$sth = $dbh->prepare('SELECT name, colour, calories
FROM fruit
WHERE calories < :calories AND colour = :colour');
^^^^^^^^^ ^^^^^^^
驱动程序读取带有: 和尾随文本作为占位符的任何内容。然后,它将该内容与绑定的值交换,转义所有特殊字符,并引用字符串。
那么你的bindparam 有
:calories 和 :colour 与这些匹配。假设$calories 有o'brien。当查询进入数据库时,它将是:
SELECT name, colour, calories
FROM fruit
WHERE calories < 'o\'brien'
PDO 还支持未命名的占位符,它们只是问号?。您可以按位置绑定它们。
$sth = $dbh->prepare('SELECT name, colour, calories
FROM fruit
WHERE calories < ? AND colour = ?');
然后使用1,因为它是第一个占位符。
$sth->bindParam(1, $calories, PDO::PARAM_INT);
此外,您可以将所有值作为数组传递给execute 函数,它也会执行绑定。
无论bindparam 或execute 绑定,您都必须通过在查询中使用绑定来解决绑定问题。未命名是位置,命名是按名称。
【讨论】:
colour 是命名占位符吗?对colour(带和不带冒号)的两个引用是指同一个对象吗?
< 的字符串不是最好的,但希望能证明它是如何工作的。
参数
参数标识符。对于使用命名占位符的准备好的语句,这将是一个形式为 :name 的参数名称。对于使用问号占位符的预处理语句,这将是参数的 1 索引位置。
变量
要绑定到 SQL 语句参数的 PHP 变量的名称。
请参阅此处的文档以获取参考 http://php.net/manual/en/pdostatement.bindparam.php。
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)
VALUES (:firstname, :lastname, :email)");
$stmt->bindParam(':firstname', $firstname);
$stmt->bindParam(':lastname', $lastname);
$stmt->bindParam(':email', $email);
// insert a row
$firstname = "John";
$lastname = "Doe";
$email = "john@example.com";
$stmt->execute();
【讨论】: