以下是一个例子,参数sql的执行,采用绑定参数的方式,这样可以防止注入语句:
/**
* Add score, true if successful, false if failed.
* @param $userId
* @param $topicId
* @param $score
* @param $msg
*/
public function addScore($userId, $topicId, $scoreFrom, $score, $msg)
{
try
{
$curTime = date('Y-m-d H:i:s');
$sql = "insert into user_scores (user_id, topic_id, score_from, score_num, score_message, create_time) ";
$sql .= " values (:userId, :topicId, :scoreFrom, :score ,:msg, :create_time)";
$connection = Yii::app()->db;
$command=$connection->createCommand($sql);
$command->bindParam(":userId",$userId,PDO::PARAM_STR);
$command->bindParam(":topicId",$topicId,PDO::PARAM_INT);
$command->bindParam(":scoreFrom",$scoreFrom,PDO::PARAM_STR);
$command->bindParam(":score",$score,PDO::PARAM_INT);
$command->bindParam(":msg",$msg,PDO::PARAM_STR);
$command->bindParam(":create_time",$curTime);
$rowCount=$command->execute();
if($rowCount == 1)
return true;
else
return false;
}
catch(Exception $e)
{
return false;
}
}
关于PDO属性列表:
PDO::PARAM_BOOL
表示一个布尔类型
PDO::PARAM_NULL
表示一个SQL中的NULL类型
PDO::PARAM_INT
表示一个SQL中的INTEGER类型
PDO::PARAM_STR
表示一个SQL中的SQL CHAR,VARCHAR类型
PDO::PARAM_LOB
表示一个SQL中的large object类型
PDO::PARAM_STMT
表示一个SQL中的recordset类型,还没有被支持
PDO::PARAM_INPUT_OUTPUT
Specifies that the parameter is an INOUT parameter for a stored procedure. You must bitwise-OR this value with an explicit PDO::PARAM_* data type.
运维网声明
1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网 享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com