Parameter in einer MySQL-Datenbank

Ich bin mit PHP mit MySQLi, und ich bin in einer situation, wo ich Anfragen wie

SELECT $fields FROM $table WHERE $this=$that AND $this2=$that2

Bisher habe ich geschrieben, einige code, der Spleiße bis ein array, dass ich es geben, zum Beispiel:

$search = array(name=michael, age=20) //turns into
SELECT $fields FROM $table WHERE name=michael AND age=20

Ist es ein effizienter Weg, dies zu tun?

Ich bin eher besorgt über die MySQL-injections - das scheint mir sehr anfällig.
Danke!

InformationsquelleAutor | 2009-04-08
  1. 19

    Seltsam genug, der Titel deiner Frage ist im Grunde die Antwort darauf. Sie wollen etwas tun, wie dieses, mysqli parametrisierte Abfragen:

    $db = new mysqli(<database connection info here>);
$name = "michael";
$age = 20;

$stmt = $db->prepare("SELECT $fields FROm $table WHERE name = ? AND age = ?");
$stmt->bind_param("si", $name, $age);
$stmt->execute();
$stmt->close();

    Mehr Informationen in der mysqli-Abschnitt des Handbuchs, speziell die Funktionen im Zusammenhang mit MySQLi_STMT.

    Hinweis, dass ich persönlich lieber mit PDO über mysqli, ich mag nicht alle bind_param /bind_result Zeug, dass mysqli nicht. Wenn ich es verwenden, ich Schreibe einen wrapper, damit es funktioniert mehr wie PDO.

    InformationsquelleAutor Chad Birch
Schreibe einen Kommentar