堆棧內存溢出
  簡體   English   中英

PDO 更新函數中的錯誤

[英]Error in PDO Update Function

 原文  2016-04-01 07:57:06       php/ mysql/ pdo

問題描述

$table="menu_permission";
$field = array('permission'=>$mnuprmis);
$ob->update($table,$field,'staff_id',$stfid);


public function update($table, $fields, $wherefield, $wherefieldvalues) 
    {
        $sql = "update $table set";
        foreach ( $fields as $fieldname => $sfieldvalue )
            $sql .=  $fieldname."= '".$sfieldvalue."',";
            $sql = substr($fldquery,0,strlen($fldquery)-1);
            $sql .=" where $wherefield = '$wherefieldvalues'";
        $q = $this->conn->prepare($sql);
        $q->execute();
        return true;
    }

錯誤

Fatal error: Uncaught exception 'PDOException' with message 'SQLSTATE[42000]: 
Syntax error or access violation: 1064 You have an error in your SQL syntax; 
check the manual that corresponds to your MySQL server version for the right syntax to use 
near 'where staff_id = '1'' at line 1' 
in G:\xampp\htdocs\live\Billing Suryas\model\DBConfig.php:171 
Stack trace: #0 G:\xampp\htdocs\live\Billing Suryas\model\DBConfig.php(171): PDOStatement->execute() 
#1 G:\xampp\htdocs\live\Billing Suryas\pages\permission_pages.php(257): Connection->update('menu_permission', Array, 'staff_id', '1') 
#2 {main} thrown in G:\xampp\htdocs\live\Billing Suryas\model\DBConfig.php on line 171

2 個解決方案

解決方案1
 3  2016-04-01 08:18:12

沒有像$fldquery這樣$fldquery東西

$sql = substr($fldquery,0,strlen($fldquery)-1);
              ^^^                  ^^^

因此您的查詢只是

 $sql .=" where $wherefield = '$wherefieldvalues'";

這導致

 where staff_id = '1'   // This is your COMPLETE query

這只是問題之一,當您修復錯字並在那里輸入正確的變量名稱時,它將被修復。 但是,如果您閱讀本文,則會發現更大的問題

如何防止 PHP 中的 SQL 注入?

解決方案2
 -1  2016-04-01 08:07:38

這可能與您在數值周圍放置單引號有關,這不是必需的,並且可能會破壞您的查詢,因為您的數據庫可能將其視為字符串而不是數字。

$table="menu_permission";
$field = array('permission'=>$mnuprmis);
$ob->update($table,$field,'staff_id',$stfid);


public function update($table, $fields, $wherefield, $wherefieldvalues) 
    {
        //
        // COMPILE QUERY
        $sql = "update $table set ";
        $col_values_array = array();
        foreach ( $fields as $fieldname => $sfieldvalue ) {
            $value = is_numeric($sfieldvalue) ? $sfieldvalue : "'$sfieldvalue'";
            $col_values_array[] =  "$fieldname = $value";
        }
        $sql .= implode("," , $col_values_array);
        $sql .= " where $wherefield = '$wherefieldvalues'";
        //
        // EXECUTE QUERY
        //$q = $this->conn->prepare($sql); --> not required when not using parametrised queries
        //$q->execute(); --> not required when not using parametrised queries
        $this->conn->query($sql);
        return true;
    }

還要考慮使用准備好的語句來防止 SQL 注入。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 PHP PDO函數更新值插入錯誤 PDO mysql更新錯誤 PDO更新錯誤未顯示 PDO致命錯誤更新 PDO更新功能為每個列設置相同的值-循環錯誤 我的PDO功能出現錯誤 PDO功能錯誤 PDO錯誤,具有選擇功能 PDO update_user函數 使用PDO在PHP中使用函數更新值
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM