PDO PHP插入不起作用

Question

$pdo = $db_con->prepare("INSERT INTO agents (Agent_ID,Agent_Name,Agent_Branch) VALUES (:1, :2, :3)");
$pdo->bindParam(':1', $id);
$pdo->bindParam(':2', $agent);
$pdo->bindParam(':3', $branch);
$pdo->execute();

没有错误，这确实有效

$db_con->exec("INSERT INTO agents (Agent_ID,Agent_Name,Agent_Branch) VALUES ('fd','dd','d')");

顺便问一下，第一种方法更安全还是没关系？

Answer 1

您是否考虑过使用? 占位符代替:<n>？

由于您没有为占位符提供描述性名称，因此没有必要像您那样做。我在docs 上找不到任何表明可以将参数命名为整数的信息。

我的建议：

$pdo = $db_con->prepare("INSERT INTO agents (Agent_ID,Agent_Name,Agent_Branch) VALUES (?, ?, ?)");
// Params are 1-indexed!!!
$pdo->bindParam(1, $id);
$pdo->bindParam(2, $agent);
$pdo->bindParam(3, $branch);
$pdo->execute();

由于您只是忽略参数类型（在大多数情况下都可以），因此您最好这样做：

$pdo = $db_con->prepare("INSERT INTO agents (Agent_ID,Agent_Name,Agent_Branch) VALUES (?, ?, ?)");
$pdo->execute(array($id, $agent, $branch));

那么这三个参数都将被视为字符串。

---

关于哪个更安全的问题，如果$id、$agent和$branch是用户提供的信息，则更安全的方法是第一种，因为它使用准备好的语句，因此您' 至少会被防范 SQL 注入。如果这些数据来自“可靠来源”（例如：硬编码到您的应用程序中），那么它们之间在安全性方面没有区别先验。

但是，如果某人（任何人）有权访问该数据，他可能会对其进行更改，从而使您的系统易受攻击。因此，更明智的选择是始终使用准备好的语句。这比没有“更安全”，但根本不安全，准备好的语句没有考虑其他几个问题。