PHP UPDATE准备语句

嗨,我正在尝试学习使用准备好的语句来避免SQL注入等的正确方法。

当我执行脚本时,我从脚本中收到一条消息,提示已插入0行,我希望这表示已插入1行,并且当然会更新表。我不完全确定自己准备好的陈述,因为我已经做过一些研究,我的意思是每个例子都各不相同。

更新表格时,我需要声明所有字段吗?还是只更新一个字段就可以了?

任何信息将非常有帮助。

index.php

<div id="status"></div>

<div id="maincontent">

<?php //get data from database.

require("classes/class.Scripts.inc");

$insert = new Scripts();

$insert->read();

$insert->update();?>

<form action="index2.php" enctype="multipart/form-data" method="post" name="update" id="update">

<textarea name="content" id="content" class="detail" spellcheck="true" placeholder="Insert article here"></textarea>

<input type="submit" id="update" name="update" value="update" />

</div>

classes / class.Scripts.inc

public function update() {

if (isset($_POST['update'])) {

$stmt = $this->mysqli->prepare("UPDATE datadump SET content=? WHERE id=?");

$id = 1;

/* Bind our params */

$stmt->bind_param('is', $id, $content);

/* Set our params */

$content = isset($_POST['content']) ? $this->mysqli->real_escape_string($_POST['content']) : '';

/* Execute the prepared Statement */

$stmt->execute();

printf("%d Row inserted.\n", $stmt->affected_rows);

}

}

回答:

$stmt = $this->mysqli->prepare("UPDATE datadump SET content=? WHERE id=?");

/* BK: always check whether the prepare() succeeded */

if ($stmt === false) {

trigger_error($this->mysqli->error, E_USER_ERROR);

return;

}

$id = 1;

/* Bind our params */

/* BK: variables must be bound in the same order as the params in your SQL.

* Some people prefer PDO because it supports named parameter. */

$stmt->bind_param('si', $content, $id);

/* Set our params */

/* BK: No need to use escaping when using parameters, in fact, you must not,

* because you'll get literal '\' characters in your content. */

$content = $_POST['content'] ?: '';

/* Execute the prepared Statement */

$status = $stmt->execute();

/* BK: always check whether the execute() succeeded */

if ($status === false) {

trigger_error($stmt->error, E_USER_ERROR);

}

printf("%d Row inserted.\n", $stmt->affected_rows);

关于您的问题:

我从脚本中收到一条消息,提示已插入0行

这是因为绑定参数时,它们的顺序颠倒了。因此,您正在id列中搜索$ content的数值,该数值可能解释为0。因此UPDATE的WHERE子句匹配零行。

我需要声明所有字段还是可以只更新一个字段?

可以在UPDATE语句中仅设置一列。其他列将不会更改。

以上是 PHP UPDATE准备语句 的全部内容, 来源链接: utcz.com/qa/427122.html

回到顶部