从准备好的语句中获取数据

Posted

技术标签:

【中文标题】从准备好的语句中获取数据【英文标题】:fetching data from a prepared statement 【发布时间】:2009-03-06 13:45:21 【问题描述】:

我有一个函数,它是从数据库中返回一个包含记录的行数组,这些记录是根据 LIKE 查询选择的。出于安全原因,我希望此查询成为准备好的语句。显然我不能像我一样使用绑定参数和查询功能。那时我不确定如何将我的查询保留为准备好的语句,并返回我试图返回的行。

function getRowsByArticleSearch($searchString, $table, $max) 
    $con = mysqli_connect("localhost", "x", "x", "x");
    //global $con;
    $recordsQuery = "SELECT ARTICLE_NO, USERNAME, ACCESSSTARTS, ARTICLE_NAME, date_format(str_to_date(ACCESSSTARTS, '%d/%m/%Y %k:%i:%s'), '%d %m %Y' ) AS shortDate FROM AUCTIONS WHERE upper(ARTICLE_NAME) LIKE '%?%' ORDER BY str_to_date(ACCESSSTARTS, '%d/%m/%Y %k:%i:%s')" . $max;
    if ($getRecords = $con->prepare($recordsQuery)) 
        $getRecords->bind_param("s", $searchString);
        //$getRecords->execute();
        echo "test if";
        //$getRecords->bind_result($ARTICLE_NO, $USERNAME, $ACCESSSTARTS, $ARTICLE_NAME, $shortDate);
        while ($getRecords->fetch()) 
            $result = $con->query($recordsQuery);
            $rows = array();
            echo "test while";
            while($row = $result->fetch_assoc()) 
                $rows[] = $row;
            
        
        return $rows;
     else 
        print_r($con->error);

从不进入while循环。

【问题讨论】:

为什么execute被注释掉了?? SQL like statement problems 的副本。 【参考方案1】:

虽然如果你有很多列会很乏味,但你可以这样做:

function getRowsByArticleSearch($searchString, $table, $max) 

  $con = mysqli_connect("localhost", "x", "x", "x");
  $recordsQuery = "SELECT ARTICLE_NO, USERNAME, ACCESSSTARTS, ARTICLE_NAME, date_format(str_to_date(ACCESSSTARTS, '%d/%m/%Y %k:%i:%s'), '%d %m %Y' ) AS shortDate FROM AUCTIONS WHERE upper(ARTICLE_NAME) LIKE ? ORDER BY str_to_date(ACCESSSTARTS, '%d/%m/%Y %k:%i:%s')" . $max;
  if ($getRecords = $con->prepare($recordsQuery)) 
        $getRecords->bind_param("s", $searchString);
        $getRecords->execute();
        $getRecords->bind_result($ARTICLE_NO, $USERNAME, $ACCESSSTARTS, $ARTICLE_NAME, $shortDate);
        $rows = array();
        while ($getRecords->fetch()) 
            $row = array(
                'ARTICLE_NO' => $ARTICLE_NO,
                'USERNAME' => $USERNAME,
                 ...
            );
             $rows[] = $row;
        
        return $rows;
     else 
        print_r($con->error);

基本上你必须自己创建所需的关联数组,因为你不能使用$result_set->fetch_assoc()

【讨论】:

hmmmm,有什么理由不能通过查询获取关联? 否,但您不能将“查询”与绑定参数一起使用。如果你真的小心,你可以使用'query'和'mysql_real_escape_string'来保护自己免受SQL注入。 另外,你的函数给出了意外的 T_IF 但是我不明白为什么。 有一个额外的字符出现在设置 $recordQuery 的行的末尾 啊。我正在尝试使用 slef 创建的数组,但是仍然没有输入 while 循环,只有 if 循环。【参考方案2】:

"... LIKE ? ..."(而不是"... LIKE '%?%' ...")和$getRecords->bind_param("s", "%$searchString%");

【讨论】:

以上是关于从准备好的语句中获取数据的主要内容,如果未能解决你的问题,请参考以下文章

无法使用准备好的对象语句从 mysql 获取多行数据 [重复]

如何确定从我的 html 表单获取的输入值的数据类型,以便我可以使用它们在准备好的语句中绑定参数

准备好的语句不获取数据

如何在for循环中执行准备好的语句以从jsp中的表中获取数据?

从 PDO 准备好的语句中获取查询 [重复]

从 PDO 准备好的语句中获取原始 SQL 查询字符串