Привет Я пытаюсь научиться правильно использовать подготовленные заявления, чтобы избежать SQL инъекций и т.д.PHP UPDATE подготовил заявление
Когда я выполнить сценарий, я получаю сообщение от моего сценария говоря 0 Рядов Поставлены, я ожидаю, это сказать 1 Rows Inserted и, конечно, обновить таблицу. Я не совсем уверен в своем подготовленном заявлении, поскольку я провел некоторое исследование, и я имею в виду, что он варьируется от примера к примеру.
Когда я обновляю таблицу, мне нужно объявить все поля или это нормально, просто обновить одно поле?
Любая информация была бы очень полезной.
index.php
<div id="status"></div>
<div id="maincontent">
<?php //get data from database.
require("classes/class.Scripts.inc");
$insert = new Scripts();
$insert->read();
$insert->update();?>
<form action="index2.php" enctype="multipart/form-data" method="post" name="update" id="update">
<textarea name="content" id="content" class="detail" spellcheck="true" placeholder="Insert article here"></textarea>
<input type="submit" id="update" name="update" value="update" />
</div>
классы/class.Scripts.inc
public function update() {
if (isset($_POST['update'])) {
$stmt = $this->mysqli->prepare("UPDATE datadump SET content=? WHERE id=?");
$id = 1;
/* Bind our params */
$stmt->bind_param('is', $id, $content);
/* Set our params */
$content = isset($_POST['content']) ? $this->mysqli->real_escape_string($_POST['content']) : '';
/* Execute the prepared Statement */
$stmt->execute();
printf("%d Row inserted.\n", $stmt->affected_rows);
}
}
Вы попробовали посмотреть, что произойдет? –
real_escape_string() не требуется для подготовленных операторов – Danijel
В вашем SQL первый параметр является содержимым, а второй - идентификатором. Когда вы вызываете bind_param, вы отменили заказ - попробуйте поменять порядок вокруг в bind_param – andrewsi