PDO bindValue() 没有绑定答案

【问题标题】：PDO bindValue() is not bindingPDO bindValue() 没有绑定
【发布时间】：2013-03-08 22:38:04
【问题描述】：

以下脚本的想法是根据用户单击 jQuery UI datepicker 日历中的日期来向/从数据库添加或删除日期，我已设置该日历以获取单击的日期。

我将 jQuery.post() 发送到包含以下代码的 php 页面。

问题是我在 $_POST[] 变量中获取的值不会绑定到 PDO->prepare 语句，我最终只是将 0000-00-00 添加到我的数据库中！

if (isset($_POST['edit_date'])) {
$edit_date = htmlspecialchars(trim($_POST['edit_date']), ENT_QUOTES);

require_once '../includes/db_cnx.include.php';

// Check if already exists
$query = $db->prepare("SELECT * FROM `dates` WHERE `date` = :date");
$query->bindValue(':date', $edit_date);
print_r($query);
$query->execute();

$num_rows = $query->rowCount();
echo '(num rows: ' . $num_rows . ')';
if ($num_rows === 0 ) {
    // INSERT NEW
    $query = $db->prepare("INSERT INTO `dates` (`date`) VALUES (:insert_date)");
    $query->bindValue(':insert_date', $edit_date, PDO::PARAM_STR);
    print_r($query);
    $query->execute();
    if ($query->rowCount() === 1) {
        $return_msg = 'Date added to database';
    } else {
        $return_msg = 'Could not add date to database';
    }
} else if ($num_rows === 1) {
    // DELETE EXISTING
    $query = $db->prepare("DELETE FROM `dates` WHERE `date` = :delete_date");
    $query->bindValue(':delete_date', $edit_date, PDO::PARAM_STR);
    print_r($query);
    $query->execute();
    if ($query->rowCount() === 1) {
        $return_msg = 'Date removed from database';
    } else {
        $return_msg = 'Date could not be removed from database';
    }
} else {
    // error??
    $return_msg = 'More than one entry for this date. Please contact the administrator';
}

echo $return_msg . '- ' . $edit_date;

}

如果我输出收到的 $_POST['edit_date'] 我会看到正确的值（例如 2013-03-01）。

如果我在绑定后输出 SELECT 语句，我会看到：

PDOStatement Object
(
    [queryString] => SELECT * FROM `dates` WHERE `date` = :date
)

这是否意味着它没有将实际值绑定到 :date ？

即使看到上面显示的 :date 它似乎确实在做它的工作，因为我根据它是否找到日期得到正确的行数。

根据返回的行数，它会落入正确的 if / else 块中。但随后会向我展示：

(
    [queryString] => INSERT INTO `dates` (`date`) VALUES (:insert_date)
)

我输入上面提到的 0000-00-00 日期。

它开始驱使我绕过弯道！

即使它没有在输出中显示我，它是否具有约束力？如果是为什么它使用 000-00-00 而不是我的实际值？

谢谢！

编辑... 如果有帮助，来自其他页面的 jquery 帖子如下所示：

onSelect: function(){
          var day = $("#datepicker").datepicker('getDate').getDate();
          var month = $("#datepicker").datepicker('getDate').getMonth() + 1;
          var year = $("#datepicker").datepicker('getDate').getFullYear();
          var fullDate = year + " - " + month + " - " + day;

          $.post('admin_functions.php', {"edit_date" : fullDate}, function (data) {
            alert(data);
          });
      }

【问题讨论】：

为什么顶部有一个$edit_date = htmlspecialchars(trim($_POST['edit_date']), ENT_QUOTES);？
我只是将 $_POST 变量存储在我自己的变量中，这样我就不必每次都直接引用 $_POST 值。另外，我借此机会“清理”任何 sql 注入尝试的值。我明白这是常见的做法？不是吗？ - 我认为它的工作量较少，因为它不必每次都检查服务器发送的值，从而节省资源。
为了安全起见，能否在绑定值之前输出var_dump($edit_date);的结果以确保没有其他字符会导致mysql无法识别日期？
var_dump 给了我：string(12) "2013 - 3 - 1"
这就是你的结果。你是如何传递这个edit_date 变量的？

标签： php ajax json pdo bindvalue

【解决方案1】：

如果您的日期变量包含2013 - 3 - 1，mysql 或 php 将能够将其识别为有效日期。

假设你在 mysql 中使用一个日期字段，你需要给它一个日期格式：yyyy-mm-dd。

解决您的问题的最简单方法是删除您在 javascript 中添加的空格，以便您的日期变为 2013-3-1。现在php可以识别了，你可以使用：

$date_for_sql = date("Y-m-d", strtotime($_POST['edit_date']));

当然还有其他（并且更强大...）解决方案来验证您的日期是否有效，您可以在- 上展开以获取组件等。

【讨论】：

太棒了！！！！所以我一直都找错地方了！？我一生的故事。由于 PHP strtotime() 的建议而不是@Dream Eater 的 MySQL STR_TO_DATE() 的建议而接受了这个答案，考虑到 PDO 并试图保持数据库独立等等，这可能更加干净！但是谢谢你们！

【解决方案2】：

在您的 jQuery 代码中，更改以下内容：

var fullDate = year + " - " + month + " - " + day;

到

var fullDate = year + "-" + month + "-" + day;

注意：没有多余的空格被传递。

然后，在您的插入查询中，使用 MySQL 的 STR_TO_DATE() 将字符串解析为日期。您的准备声明应为：

$query = $db->prepare("INSERT INTO `dates` (`date`) 
    VALUES (STR_TO_DATE(:insert_date, '%Y-%c-%e'))");

【讨论】：