thinkphp - TP里面如果这句话改成预处理的方式怎么改呢？

问题描述

问 题

$arr=array(
     'name'=>$name,
     'age'=>$age
     );
$z=$user->add($arr);

我试着改了一下 瞎写的 不对 插进去的是null

$z=$user->add("name=>'%s' and age=>'%s'",array($name,$age));

解决方案

我没用过TP，不过感觉你对预处理的理解不太对头。
事实上只要你不是sql语句，那么都会进行安全处理的，这也是数据库访问接口的特性，例如 PDO 是 exec('insert into table values(?,?)', [$param1, $param2])，这是PDO对象支持的，而不是TP提供的，它所做的只是转换为以上格式，而不是转换为 insert into table set column1 = $param1, column2 = $param2，这种格式就无法有效利用PDO的预处理功能了。
对于数据格式的问题，%s %f那种应该是TP应对查询做的扩展，其实一律写成%s也不影响结果，例如 id=1 和 id='1'没有任何区别。

至于insert/update的数据安全性与合法性问题应该用验证器提前检查。

简单来说，所谓的预处理其实就是为了防止数据中包含单/双引号引起语法错误或产生sql注入，并不包含任何检查、格式化的用途。

这篇关于thinkphp - TP里面如果这句话改成预处理的方式怎么改呢？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！