php pdo 传参,关于pdo引用传参，字段是不是不能当成参数传入？

最新推荐文章于 2026-06-21 09:57:06 发布

转载最新推荐文章于 2026-06-21 09:57:06 发布 · 158 阅读

标签

#php pdo 传参

收录于

本文探讨了使用PDO进行SQL参数绑定时出现的问题，包括为何某些情况下无法正确获取数据及如何避免SQL注入攻击。通过实例说明了正确的参数绑定方式。

$pdo= new PDO ( 'mysql:host=localhost;dbname=test;', 'root', '123456', array (PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES 'utf8'",PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION) );$stmt=$pdo->prepare('select ? from tianya_post where id=1');$stmt->bindValue(1, 'title');$stmt->execute();print_r($stmt->fetch());

第一行记录的标题是：“我和嫂子的那些事儿”

但，列位看官，猜下结果是什么？

Array

(

[title] => title

[0] => title

)

为什么会这样？

如果用

select title from tianya_post where id=?

$stmt->bindValue(1, 1);

可以得到正确的标题的。

回复讨论(解决方案)

字段列表不是参数！

http://blog.csdn.net/fdipzone/article/details/22330345

需要注意的是以下几种情况，PDO并不能帮助你防范SQL注入。

不能让占位符 ? 代替一组值，这样只会获取到这组数据的第一个值，如：

select * from table where userid in ( ? );

如果要用in?查找，可以改用find_in_set()实现

$ids = '1,2,3,4,5,6';

select * from table where find_in_set(userid, ?);

不能让占位符代替数据表名或列名，如：

select * from table order by ?;

不能让占位符 ? 代替任何其他SQL语法，如：

select extract( ? from addtime) as mytime from table;

本文原创发布php中文网，转载请注明出处，感谢您的尊重！

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Cross Maker

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

php pdo 传参,用PDO把增删改方法，可以传值3-21

weixin_28713083的博客

03-18

160

实例//数据库连接mysqlconfunctionmysqlcon(){requiredirname(__FILE__).'/../config/config.php';try{$dbh=newPDO($sys_db_dsn,$sys_db_user,$sys_db_pws);return$dbh;}catch(PDOException$e){print"Error!:"...

参与评论您还未登录，请先登录后发表或查看评论

预处理传字段名 php,pdo预处理时，需要绑定字段，但是出现了问题

weixin_33443597的博客

04-06

139

需要向数据库查询，但是字段和字段值都是客户端传过来的，所以sql语句是这么写的$sql="select id from goods_type_attr where :field=:value and type_id=:type_id";$this->stmt=$this->pdo->prepare($sql);$this->stmt->execute($arr);但是...

php数组去掉键值,PHP 如何将数组去掉键值？_后端开发

weixin_39623713的博客

03-11

360

如何用python计算圆周率？_后端开发python计算圆周率的方法：首先在图像中随机抛置大量的点；然后计算落在1/4圆内的点的数量；最后计算pi值，代码为【for i in range(1,DARTS):x, y = random(), random()】。 PHP 如何将数组去掉键值？在PHP中可以使用“array_values()”函数将数组去掉键值，该函数会返回数组中所有的值，其语法是“a...

PDO介绍+PDO增删改查+PDO事物处理+DPO封装类

2601_95438532的博客

04-17

361

bindColumn：将指定列的数据绑定到一个外部变量，然后在数据fetch操作的时候，会将对应列的数据，直接放到对应的变量当中，然后可以通过直接使用变量相当于操作对应的字段的值。PDO：PHP data object，php数据对象，也叫php数据抽象层，是一种能够管理多种不同数据库的数据对象，PHP只需要去调用PDO，而不用去在意PDO底层管理的数据库到底是采用什么样的方式，哪些方法来实现的功能。在程序中，反射是在通过获得一个类，让类内部的结构给反射出来，能将类内部的属性，方法，常量给全部显示处理。

20150113--PDO增删改查+封装PDO类-02

weixin_30681121的博客

04-21

134

20150113--PDO增删改查+封装PDO类-02 预处理预处理：提前处理，在一次数据库连接过程中，可以提前将要执行的SQL语句发送给服务器，预处理语法 1. 准备预处理：将要执行的SQL语句起个别名然后发送给服务器。 prepare 预处理名字 from ...

Ubuntu 18.04下PDO MySQL事务失效的根因与实战修复

最新发布

weixin_33910759的博客

06-21

592

PDO是PHP中实现数据库抽象与ACID事务的关键扩展，其核心价值在于通过统一接口封装底层驱动差异，并依托ERRMODE_EXCEPTION、ATTR_AUTOCOMMIT等配置实现可靠的事务控制。在Linux服务器环境中，尤其是长期服役的Ubuntu 18.04系统，事务失败往往并非代码逻辑错误，而是PDO扩展缺失、MySQL字符集协商引发隐式提交、autocommit配置未生效等系统级协同问题。这些问题直接影响资金类、订单类等强一致性业务的数据可靠性。本文聚焦PDO事务在真实LAMP栈（Ubuntu 1

php长文本怎么防sql注入,PHP怎么防sql注入

weixin_39631951的博客

03-09

141

防sql注入需要结合三方面来做：参数检查，包括参数合法性和长度校验，对于特殊字符，还需要做特殊字符处理数据库设计使用正确的数据类型，如果是字符类型，设定字符的长度使用预定义语句和参数化绑定数据php提供了MySQLi和PDO两种选择。MySQLi:$mysqli = new mysqli('localhost', 'user', 'password', 'user');$stmt = $mysql...

php pdo 参数绑定,PDO绑定参数的其他方法

weixin_42416490的博客

03-11

963

摘要：在《PDO中预处理语句占位符的使用》已经介绍了参数绑定方法bindParam()，冒号‘:’占位符和问号‘?’都可以使用这个方法绑定参数，而且还可以指定绑定参数的类型，再次确保在执行sql中传入参数的安全性。PDO扩展中，除了bindParam()方法外，还有其它的方法也可以绑定参数。在《PDO中预处理语句占位符的使用》已经介绍了参数绑定方法bindParam()，冒号‘:’占位符...

c语言参数类型不兼容,实参类型与形参类型不兼容，为啥啊，这个要怎么改代码在楼下，需...

weixin_33417703的博客

05-18

2087

该楼层疑似违规已被系统折叠隐藏此楼查看此楼#include #include typedef char ElemType;typedef struct BiTNode{ElemType data;struct BiNode* lchild;struct BiNode* rchild;}BiTNode, * BiTree;void CreateBiTree(BiTree* T);void visi...

PHP MySql通过PDO的bindParam 给in 绑定参数

y_server的博客

05-21

4205

最近开发中遇到一个问题，使用PDO进行数据库操作的时候，使用bindParam 方式给in绑定参数，发现SQl只能查到 in 里边的第一个参数的值，通过打印发现in 里边的参数绑定是这样的：`current_state` in('1,6') 按照需求应该是：`current_state` in(1,6) 多了一个单引号，导致查询到的结果只能查到第一条解决方案：$sta = "1,6"; //自行...

php pdo和odbc区别,PHP PDO ODBC – 数据类型在等于运算符中不兼容

weixin_34163588的博客

03-18

436

我似乎无法获得一个带参数的简单WHERE子句,我不断收到一条错误消息：[Microsoft][ODBC SQL Server Driver][SQL Server]The data types varchar(max) and text are incompatible in the equal to operator. (SQLExecute[402] at ext\pdo_odbc\odbc_...

php pdo 参数绑定导出数据库

fareast_mzh的博客

07-22

1621

* ./conf/db_in.php <?php return [ 'host' => '192.168.20.155', 'port' => 3306, 'name' => 'ETBDM', 'username' => 'mingzhanghui', 'password' => 'mingzhanghui...

pdo连接mysql 的 3种方式（参数的免写）

文刂東敏

10-11

811

<?php header('content-type:text/html;charset=utf-8'); /**** pdo配置文件链接mysyql ****/ /* try{ //在phpin（）配置里加上这么一句话 ↓ //pdo.dsn.imooc="mysql:host=localhost;dbname=month7"; $dsn='imooc'; $na

PDO预处理语句PDOStatement对象使用总结

u011252402的专栏

08-05

2466

PDO预处理语句PDOStatement对象使用总结 PDO对预处理语句的支持需要使用PDOStatement类对象，但该类对象并不是通过NEW关键字实例化出来的，而是通过PDO对象中的prepare()方法，在数据库服务器中准备好一个预处理的SQL语句后直接返回的。如果通过之前执行PDO对象中的query()方法返回的PDOStatement类对象，只代表的是一个结果集对象。而如果

php-PDO-预处理绑定参数的一个细节

jiaobuchong的专栏

10-20

5023

foreach ($this->parameters as $key => $value) echo $key; echo $value; $refKey = ltrim($key, ':'); //$refKey 是一个为了以后引用 ech