Проблема с использованием грамматики с PDO

-2

Незначительная проблема при обновлении записей в MySQL с использованием PDO. Он не обновляется, когда я использую грамматику, поэтому для примера, если я использую: ', это не позволяет мне. Я использую свою подготовку, но это просто апостроф, который не работает?Проблема с использованием грамматики с PDO

if($_POST['ourstory']) { 
    foreach($_POST['ourstory'] as $id => $ourstory) { 
     $sql = "UPDATE our_story SET content = '$ourstory' WHERE id = '$id'"; 
     $q = $db->prepare($sql); 
     $q->execute(array($id,$ourstory)); 
    } 
}

источник

2013-07-22 User_coder

Вы должны связывать переменные, а не добавлять их прямо в строку SQL. – andrewsi

? Этот знак вопроса на самом деле является ответом.: P – Manu

Вы уязвимы для атак SQL-инъекций. вы используете подготовленные заявления, поэтому вы ** ДОЛЖНЫ ** использовать заполнители. например '... content =? WHERE id =? ', –

Это не то, как вы используете подготовленные заявления. Вы хотите использовать ? в своем запросе.

$sql = "UPDATE our_story SET content = ? WHERE id = ?"; 
$q = $db->prepare($sql); 
$q->execute(array($ourstory, $id));

источник

2013-07-22 17:33:51

Спасибо. Я не очень хорошо знаком с английским, но очень благодарю вас. –

Добро пожаловать :-) –

Вы также можете сделать 'SET content =: content WHERE id =: id', а затем' execute (array (': content' => $ content, ': id' => $ id ')) '. – tadman

Проблема с использованием грамматики с PDO

ответ

Смежные вопросы