Question

Tengo algunas consultas mysql_query en mi código que quiero convertir a PDO pero estoy luchando para ponerme a trabajar.

mi código original:

mysql_query("UPDATE people SET price='$price', contact='$contact', fname='$fname', lname='$lname' WHERE id='$id' AND username='$username' ") 
or die(mysql_error()); 

Ahora estoy tratando:

$sql = "UPDATE people SET price='$price', contact='$contact', fname='$fname', lname='$lname' WHERE id='$id' AND username='$username'"; 
$q = $conn->query($sql) or die("failed!"); 

pero parece que no puede conseguir que funcione, alguna idea?

código actualizado:

$conn = new PDO("mysql:host=$host;dbname=$db",$user,$pass); 


// check if the form has been submitted. If it has, process the form and save it to the database 
if (isset($_POST['submit'])) 
{ 
// confirm that the 'id' value is a valid integer before getting the form data 
if (is_numeric($_POST['id'])) 
    { 
// get form data, making sure it is valid 
$id = $_POST['id']; 
$fname = mysql_real_escape_string(htmlspecialchars($_POST['fname'])); 
$lname = mysql_real_escape_string(htmlspecialchars($_POST['lname'])); 
$contact = mysql_real_escape_string(htmlspecialchars($_POST['contact'])); 
$price = mysql_real_escape_string(htmlspecialchars($_POST['price'])); 


// check that firstname/lastname fields are both filled in 
if ($fname == '' || $lname == '' || $contact == '' || $price == '') 
{ 
// generate error message 
$error = 'ERROR: Please fill in all required fields!'; 

//error, display form 
renderForm($id, $fname, $lname, $contact, $price, $error); 
} 
else 
{ 
// save the data to the database 
$username = $_SESSION['username']; 

$query = "UPDATE people 
     SET price=?, 
      contact=?, 
      fname=?, 
      lname=? 
      WHERE id=? AND 
       username=?"; 
$stmt = $db->prepare($query); 
$stmt->bindParam(1, $price); 
$stmt->bindParam(2, $contact); 
$stmt->bindParam(3, $fname); 
$stmt->bindParam(4, $lname); 
$stmt->bindParam(5, $id); 
$stmt->bindParam(6, $username);  
$stmt->execute(); 


// once saved, redirect back to the view page 
header("Location: view.php"); 
} 

Answer 1

Para obtener más información, visite este enlace: PHP PDO

basado en su ejemplo,

<?php 

    $query = "UPDATE people 
      SET price=?, 
       contact=?, 
       fname=?, 
       lname=? 
       WHERE id=? AND 
        username=?"; 
    $stmt = $dbh->prepare($query); 
    $stmt->bindParam(1, $price); 
    $stmt->bindParam(2, $contact); 
    $stmt->bindParam(3, $fname); 
    $stmt->bindParam(4, $lname); 
    $stmt->bindParam(5, $id); 
    $stmt->bindParam(6, $username);  
    $stmt->execute(); 

?> 

PDO Prepared statements and stored procedures

Answer 2

Tenga en cuenta que cuando se trabaja con el conductor de MySQL para PDO que siempre tiene que disable emulated prepared statements:

$dbConnection = new PDO('mysql:dbname=dbtest;host=127.0.0.1;charset=utf8', 'user', 'pass'); 

$dbConnection->setAttribute(PDO::ATTR_EMULATE_PREPARES, false); 
$dbConnection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); 

$sql = 'UPDATE people SET'; 
$sql.= ' price = :price,'; 
$sql.= ' contact = :contact,'; 
$sql.= ' fname = :fname,'; 
$sq;.= ' lname = :lname'; 
$sql.= ' WHERE id= :id AND username = :username'; 

$stmt = $pdo->prepare($sql); 

$stmt->execute(array(
    ':price' => $price, 
    ':contact' => $contact, 
    ':fname' => $fname, 
    ':lname' => $lname, 
    ':id' => $id, 
    ':username' => $username, 
)); 

Como se puede ver que he utilizado parámetros con nombre, porque cuando usted tiene un montón de ellos se está mucho más claro de lo que estás haciendo.

Nota: ircmaxell que está trabajando actualmente en getting the default to always use real prepared statements, pero hasta que eso (que puede llevar algún tiempo) siempre hay que desactivarlas para MySQL.

Answer 3

Si usted va a utilizar DOP, es necesario mirar a prepare() y execute de lo contrario se está perdiendo la seguridad que ofrece DOP y retener las inyecciones SQL. Por lo tanto, dada su ejemplo:

$conn = new PDO(/*connection info*/); 

$query = $conn->prepare("UPDATE people " 
         . "SET price = :price, " 
         . "  contact = :contact, " 
         . "  fname = :fname, " 
         . "  lname = :lname " 
         . "WHERE id  = :id " 
         . " AND username = :username"); 
$result = $query->execute(array(
    ':price' => $price, 
    ':contact' => $contact, 
    ':fname' => $fname, 
    ':lname' => $lname, 
    ':id'  => $id, 
    ':username' => $username 
)); 

Eso es más bien la manera laxa, pero también bindParam y puede ser explícito en cuanto al tipo de datos que está esperando.

Answer 4

Pocas cosas que debe tener en claro al utilizar la extensión PDO es que hay varias maneras de hacer las cosas.

La forma en que está utilizando actualmente uno de ellos, incluidos algunos más. Sin embargo, siempre es una buena idea para bind parameters por separado, ya que esto evita muchos problemas como la inyección de SQL y muchos más.

Otras cosas importantes a tener en cuenta son statement, prepare y execute.

$conn = new PDO("...."); //Creating the handler 

//Create the statement 
$stmt = $conn -> prepare("UPDATE people SET price = :price, contact = :contact, fname = :fname, lname = :lname WHERE id= :id AND username = :username"); 

// Bind the params 
$stml -> bindParam(":contact", $contact, PDO::PARAM_STR); //This way you can also define the DATATYPE of the parameter 

//Execute 
$stmt -> execute(array(
    ":price" => $price, //another way of binding the params 
    ":fname" => $fname, 
    ":lname" => $lname, 
    ":id" => $id, 
    ":username" => $username));