作者HoloLens (GoogleGlass没了ww)
看板PHP
标题[问题] PHP PDO UPADATE SET ? = ?
时间Sat Apr 4 21:58:24 2015
※ [本文转录自 ask 看板 #1L7-cRKR ]
作者: HoloLens (我就是抄GoogleGlass) 看板: ask
标题: [请问] PHP PDO UPADATE SET ? = ?
时间: Sat Apr 4 21:39:36 2015
小弟刚刚在写PHP但发现似乎
$sql = 'UPDATE `combook` SET ? = ? WHERE `id` = ?';
$sth = $Link->prepare($sql);
$sth->execute(array($_POST['n'], $_POST['thing'], $_POST['i']));
这样子的code无法顺利UPDATE资料库的东西,不知道是不是因为SET後面不行用?,如果是
的话是不是就只能手动串,但是好像就不太安全QQ,所以想请教大家
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 59.124.14.102
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/ask/M.1428154779.A.51B.html
※ 发信站: 批踢踢实业坊(ptt.cc)
※ 转录者: HoloLens (61.206.127.225), 04/04/2015 21:58:24
1F:→ KawasumiMai: ? = ? ???你要Upate什麽东西? 04/04 22:33
2F:→ KawasumiMai: SET 栏位 = 值 WHERE id = 多少 04/04 22:34
3F:→ KawasumiMai: 不然系统怎麽会知道你要干嘛= =? 04/04 22:34
4F:→ bibo9901: PDO parameter 不支援 column name 或 table name 喔 04/04 22:55
5F:→ bibo9901: 先用 in_array 检查 $_POST['n'] 是否在白名单里,再放 04/04 22:57
6F:→ bibo9901: 入 $sql 04/04 22:57
7F:推 ian71135: $_POST[n]存成变数 04/05 03:05
8F:→ ian71135: 不要塞近execute 04/05 03:05
9F:→ HoloLens: 谢谢大家,我大概懂了~ 04/05 11:48