PHP开发过程的那些坑(四)——PDO bindParam函数
(原创内容,转载请注明来源,谢谢)
坑:
bindParam是PDOStatement的一个方法,用于在PDO操作中绑定占位符的内容,进行替换,是PDO安全性的一大保障。
通常用法如下:(摘自PHP官方文档)
<?php
/* 通过绑定的 PHP 变量执行一条预处理语句 */
$calories = 150;
$colour = 'red';
$sth = $dbh->prepare('SELECT name, colour, calories
FROM fruit
WHERE calories < :calories AND colour = :colour');
$sth->bindParam(':calories', $calories, PDO::PARAM_INT);
$sth->bindParam(':colour', $colour, PDO::PARAM_STR, 12);
$sth->execute();
?>
可以看到,通过bindParam方法,可以把calories和colour替换成上面的变量。这个对防止sql注入具有重要作用。
但是,最近我遇到的问题是,通常绑定的内容很多个,可以用foreach来实现,我也就写了一个方法,如下:
//绑定sql(错误的方式)
private functionbindSql($query, $arrData){
//注:arrData=array(col1=>val1,col2=>val2…)
if(empty($arrData)){
returnnull;
}else{
foreach($arrDataas $col => $val){
$col= ':'.$col;
$query->bindParam($col, $val);
}
return$query;
}
}
但是,当我调用这个方法时,发现如果arrData只有一个参数时,正常运行,但是当传入两个或者以上时,就出问题了,最后绑定的内容全部变成最后一个val了。
经过我多次和原例子比对,发现没有问题,百思不得其解,只能再次看官方文档,直到我看到了这个人的留言:(摘自PHP官方文档)
瞬间恍然大悟。需要在$val前面加一个取地址符号&。
分析:
再次认真查看官方文档,发现其对bindParam的定义如下:(摘自官方文档)
bool PDOStatement::bindParam ( mixed $parameter , mixed &$variable [, int $data_type =PDO::PARAM_STR [, int$length [, mixed $driver_options ]]] )
注意查看第二个参数 mixed &$variable
,发现有个取地址符号。即此参数是引用绑定,在最终执行sql时才会真正被取值。
因此,单条的使用bindParam(包括连续好几行都是这个,类似官方文档)可以不用取地址符号,因为每次用不同的变量,则取不同的地址。而如果用foreach时,必须使用&符号,否则随着foreach的迭代,会被取到最后一个内容当作结果。
改进措施:
加上取地址符即可。
//绑定sql(正确的方式)
private functionbindSql($query, $arrData){
//注:arrData=array(col1=>val1,col2=>val2…)
if(empty($arrData)){
returnnull;
}else{
foreach($arrDataas $col => &$val){
$col= ':'.$col;
$query->bindParam($col, $val);
}
return$query;
}
}
——written by linhxx 2017.07.25