[英]SQL SELECT statement in PHP
哪一个是正确的?
在PHP中使用单引号和双引号以及使用Oracle 11g数据库时遇到麻烦...
<?php
$query1 = oci_parse($conn, 'SELECT * FROM SCHEMA.TABLE_A WHERE B_ID=' . $id);
$query1 = oci_parse($conn, "SELECT * FROM SCHEMA.TABLE_A WHERE B_ID='" . $id . "'");
?>
如果id是数字,则不应引用该值。 如果是字符串,则应该这样做。
无论如何,使用字符串操作创建SQL语句通常是一种不好的做法,这会使您的应用程序容易受到SQL注入攻击的攻击。 相反,您应该使用准备好的语句:
$query1 = oci_parse($conn, 'SELECT * FROM SCHEMA.TABLE_A WHERE B_ID=:id');
oci_bind_by_name($query1, ":id", $id);
oci_execute($query1);
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.