1. Inicio
  2. Pregunta y respuesta
  3. Cómo agregar valores variables dentro de pdo-> consulta

Cómo agregar valores variables dentro de pdo-> consulta

2012-03-30 10 views
7

Quiero actualizar mi código actual que constantemente se inyecta sql con PDO.Cómo agregar valores variables dentro de pdo-> consulta

Actualmente estoy atascado con el uso de una variable dentro de una consulta PDO.

Si tengo dos argumentos como éste

$rowsPerPage = 3; 

    // by default we show first page 
    $pageNum = 1; 

    if (isset($_GET['page'])) { 
    $pageNum = mysql_real_escape_string($_GET['page']); 
    } 

    $offset = ($pageNum - 1) * $rowsPerPage;

Y tengo consulta como esta

$STH = $DBH->query("SELECT News.ID, LEFT(NewsText,650), Title, AID, Date, imgID," . 
     "DATE_FORMAT(Date, '%d.%m.%Y.') as formated_date " . 
     "FROM News, Categories, NewsCheck WHERE Name LIKE '%News - Block%' AND CID=Categories.ID AND JID=News.ID ". 
     "ORDER BY `Date` DESC LIMIT $offset, $rowsPerPage");

DOP informa de un error en la última línea del Ejemplo de búsqueda Si se sustituyen estas líneas con "ORDER BY Date DESC LIMIT3,3"); todo funciona.

Entonces, ¿cómo agregar valores de variables dentro de PDO :: query?

Actualizado: Gracias a contestar abajo He actualizado mi código como este

$STH = $DBH->prepare("SELECT News.ID, LEFT(NewsText,650), Title, AID, Date, imgID," . 
      "DATE_FORMAT(Date, '%d.%m.%Y.') as formated_date " . 
      "FROM News, Categories, NewsCheck WHERE Name LIKE '%News - Block%' AND CID=Categories.ID AND JID=News.ID ". 
      "ORDER BY `Date` DESC LIMIT :offset, :rowsPerPage;"); 

$STH->bindParam(':offset', $offset, PDO::PARAM_STR); 
$STH->bindParam(':rowsPerPage', $rowsPerPage, PDO::PARAM_STR); 

$STH->execute();

Pero producido error:

Fatal error: Uncaught exception 'PDOException' with message 'SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''-3', '3'' at line 1' in /pdo/test.php:42 Stack trace: #0 /pdo/test.php(42): PDOStatement->execute() #1 {main} thrown in /pdo/test..

Segundo informe de actualización Ha cambiado de PARAM_STR A PARAM_INT como esto

$STH->bindParam(':offset', $offset, PDO::PARAM_INT); 
$STH->bindParam(':rowsPerPage', $rowsPerPage, PDO::PARAM_INT);

Todo funciona.

Fuente

2012-03-30 BobRock

+0

asignar la cadena de consulta a una variable, var_dump() los resultados y publicar aquí por favor. –

Respuesta

21

que desea utilizar declaraciones preparadas y parámetros de consulta como la siguiente:

$sth = $dbh->prepare('SELECT your_column FROM your_table WHERE column < :parameter'); 
$sth->bindParam(':parameter', $your_variable, PDO::PARAM_STR); 
$sth->execute();

Utilización de variables directamente en su consulta no le protegerá de las inyecciones SQL, incluso si está utilizando DOP. Los parámetros son la única buena manera de prevenirlos.

Fuente

2012-03-30 19:45:17

+0

Gracias por la información, pero estoy confundido ahora. Usar vars dentro de query no me protegerá de sql inj. ataques, ¿debería estar seguro de las inyecciones sql con su ejemplo? – BobRock

+1

Sí, porque en mi ejemplo utilicé 'PDO: bindParam' que reemplazará en consecuencia': parameter' por '$ your_variable'. 'bindParam' también se asegurará de que no haya caracteres especiales en su consulta. –

+0

gracias por la información. Solo soy una pregunta actualizada. – BobRock

Cuestiones relacionadas

 Cuestiones relacionadas