Незначительная проблема при обновлении записей в MySQL с использованием PDO. Он не обновляется, когда я использую грамматику, поэтому для примера, если я использую: '
, это не позволяет мне. Я использую свою подготовку, но это просто апостроф, который не работает?Проблема с использованием грамматики с PDO
if($_POST['ourstory']) {
foreach($_POST['ourstory'] as $id => $ourstory) {
$sql = "UPDATE our_story SET content = '$ourstory' WHERE id = '$id'";
$q = $db->prepare($sql);
$q->execute(array($id,$ourstory));
}
}
Вы должны связывать переменные, а не добавлять их прямо в строку SQL. – andrewsi
? Этот знак вопроса на самом деле является ответом.: P – Manu
Вы уязвимы для атак SQL-инъекций. вы используете подготовленные заявления, поэтому вы ** ДОЛЖНЫ ** использовать заполнители. например '... content =? WHERE id =? ', –