Parameter in einer MySQL-Datenbank
Ich bin mit PHP mit MySQLi, und ich bin in einer situation, wo ich Anfragen wie
SELECT $fields FROM $table WHERE $this=$that AND $this2=$that2
Bisher habe ich geschrieben, einige code, der Spleiße bis ein array, dass ich es geben, zum Beispiel:
$search = array(name=michael, age=20) //turns into
SELECT $fields FROM $table WHERE name=michael AND age=20
Ist es ein effizienter Weg, dies zu tun?
Ich bin eher besorgt über die MySQL-injections - das scheint mir sehr anfällig.
Danke!
Du musst angemeldet sein, um einen Kommentar abzugeben.
Seltsam genug, der Titel deiner Frage ist im Grunde die Antwort darauf. Sie wollen etwas tun, wie dieses, mysqli parametrisierte Abfragen:
Mehr Informationen in der mysqli-Abschnitt des Handbuchs, speziell die Funktionen im Zusammenhang mit MySQLi_STMT.
Hinweis, dass ich persönlich lieber mit PDO über mysqli, ich mag nicht alle
bind_param
/bind_result
Zeug, dass mysqli nicht. Wenn ich es verwenden, ich Schreibe einen wrapper, damit es funktioniert mehr wie PDO.