PDO 参数化查询 - 重用命名占位符？

Question

本质上，我有一个值，我必须在我的 SQL 查询中调用几次。因此，是否可以在语句中重用相同的命名占位符，例如 SELECT :Param FROM Table WHERE Column = :Param，然后简单地 bindValue(":Param")，并且两个 :Params 的值都在那里？

Answer 1

PDO::prepare 声明“您不能在准备好的语句中两次使用同名的命名参数标记”，所以我想那是不可以的。

Answer 2

你可以设置PDO::ATTR_EMULATE_PREPARES = true。

例如$connection->setAttribute(PDO::ATTR_EMULATE_PREPARES, true);.

如果你使用 Laravel，你可以在 config/database.php 的 options 数组中设置它。例如PDO::ATTR_EMULATE_PREPARES => true

Answer 3

除了重用之外，这里的主要问题是您正在尝试动态更改 col 名称。

此答案由匿名用户在http://php.net/manual/en/pdo.prepare.php 上发布：

对于那些想知道为什么在占位符周围添加引号是错误的， 以及为什么不能为表名或列名使用占位符：

对于如何准备占位符有一个常见的误解 语句有效：它们不是简单地替换为 as （转义） 字符串，并执行生成的 SQL。相反，DBMS 要求 “准备”一个语句提出了一个完整的查询计划，说明它是如何实现的 将执行该查询，包括它将执行哪些表和索引 使用，不管你怎么填，都是一样的 占位符。

“SELECT name FROM my_table WHERE id = :value”的计划将是 用 ":value" 替换什么都一样，但看起来很相似 “SELECT name FROM :table WHERE id = :value”无法计划，因为 DBMS 不知道您实际上要从哪个表中选择。

即使使用“模拟准备”，PDO 也不能让您使用 任何地方的占位符，因为它必须解决你的问题 意思是：“Select :foo From some_table”是否意味着“:foo”将是一个 列引用，还是文字字符串？

当您的查询使用动态列引用时，您应该明确地将您知道存在于表中的列列入白名单，例如使用在 default: 子句中抛出异常的 switch 语句。

Answer 4

许多像您这样的查询可以重写为只使用一个占位符。

SELECT :Param FROM Table WHERE Column = :Param

和

一样

SELECT Column FROM Table WHERE Column = :Param

但有时并不是那么简单。例如：

SELECT *
FROM my_table
WHERE first_name LIKE :Param
   OR last_name  LIKE :Param
   OR biography  LIKE :Param

在这种情况下，您可以重用将其存储在交叉连接派生表中的参数值（FROM 子句中的子查询）：

SELECT t.*
FROM my_table t
CROSS JOIN (SELECT :Param as Param) AS x
WHERE first_name LIKE x.Param
   OR last_name  LIKE x.Param
   OR biography  LIKE x.Param