[MySQL][PHP]Zmienna w poleceniu PDO

[MySQL][PHP]Zmienna w poleceniu PDO

piekarz Zobacz profil	2.02.2017, 20:28:34 Post #1
Grupa: Zarejestrowani Postów: 36 Pomógł: 0 Dołączył: 23.08.2011 Ostrzeżenie: (0%)	Witam. W poniższym zapytaniu do bazy MSQLi używam PDO. O ile w poniższym zapytaniu nie ma problemu i wszystko działa jak należy, to takie proste zapytanie "query" jest potencjalnie niebezpieczne. [PHP] pobierz, plaintext public function addVote($type,$artId){ $vote = $this->db->query("UPDATE votes SET $type=$type+1 WHERE art_id=$artId"); } [PHP] pobierz, plaintext Chciałem użyć bindowania danych jak poniżej ale niestety PDO sypie błędem. [PHP] pobierz, plaintext public function addVote($type,$artId){ $vote = $this->db->prepare("UPDATE votes SET :col=:type+1 WHERE art_id=:artId"); $vote->bindValue(':type', $type, PDO::PARAM_STR); $vote->bindValue(':col', $type, PDO::PARAM_STR); $vote->bindValue(':artId', $artId, PDO::PARAM_INT); $vote->execute(); } [PHP] pobierz, plaintext Czy ktoś wie może jak napisać update z inkrementacją? A po drugie. Może nie ma tu sensu stosować bindowania jeśli obie te zmienne nie pochodzą z formularza tylko z atrybutów HTML? Dziękuję

trueblue Zobacz profil	2.02.2017, 20:46:25 Post #2
Grupa: Zarejestrowani Postów: 6 806 Pomógł: 1828 Dołączył: 11.03.2014 Ostrzeżenie: (0%)	Nie można bindować nazw kolumn i tabel. -------------------- https://kawalekkodu.pl

piekarz Zobacz profil	4.02.2017, 15:34:40 Post #3
Grupa: Zarejestrowani Postów: 36 Pomógł: 0 Dołączył: 23.08.2011 Ostrzeżenie: (0%)	Sprawdziłem jeszcze raz i tym razem nazwę kolumny zapisałem jako zmienną. I też nie działa. Więc czy można to polecenie z inkrementacją zapisać inaczej? [PHP] pobierz, plaintext public function addVote($type,$artId){ $vote = $this->db->prepare("UPDATE votes SET $type=:type+1 WHERE art_id=:artId"); $vote->bindValue(':type', $type, PDO::PARAM_STR); $vote->bindValue(':col', $type, PDO::PARAM_STR); $vote->bindValue(':artId', $artId, PDO::PARAM_INT); $vote->execute(); } [PHP] pobierz, plaintext

trueblue Zobacz profil	4.02.2017, 15:42:20 Post #4
Grupa: Zarejestrowani Postów: 6 806 Pomógł: 1828 Dołączył: 11.03.2014 Ostrzeżenie: (0%)	A drugie type? -------------------- https://kawalekkodu.pl

woxala123 Zobacz profil	4.02.2017, 17:15:14 Post #5
Grupa: Zarejestrowani Postów: 361 Pomógł: 12 Dołączył: 9.01.2010 Ostrzeżenie: (10%)	Ha ha- to jest dopiero bindowanie(lepsze od mojego).

piekarz Zobacz profil	4.02.2017, 17:45:58 Post #6
Grupa: Zarejestrowani Postów: 36 Pomógł: 0 Dołączył: 23.08.2011 Ostrzeżenie: (0%)	Cytat(trueblue @ 4.02.2017, 16:42:20 ) A drugie type? No tak. To ponowie pytanie drugie. Czy jest ryzyko sql injection jeśli zmienne nie pochodzą z formularza tylko z atrybutów HTML? Cytat(woxala123 @ 4.02.2017, 18:15:14 ) Ha ha- to jest dopiero bindowanie(lepsze od mojego). Rozwiń temat albo daruj sobie takie odpowiedzi.

trueblue Zobacz profil	4.02.2017, 18:06:09 Post #7
Grupa: Zarejestrowani Postów: 6 806 Pomógł: 1828 Dołączył: 11.03.2014 Ostrzeżenie: (0%)	http://stackoverflow.com/a/182353 -------------------- https://kawalekkodu.pl

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Aktualny czas: 18.07.2025 - 06:38

Hosting zapewnia

Forum PHP.pl