我知道这个问题已经被问过1000次了,但是由于某种原因,我继续敲打墙。
这有效:
$sql = 'SELECT a.eventCode, a.eventTime, a.teamCode, a.playerCode, b.lastName, b.firstName, b.number, a.xCoord, a.yCoord, a.id ';
$sql = $sql . 'FROM events a, players b ';
$sql = $sql . 'WHERE a.regGUID in ( ' . $regGUID . ' ) and ';
$sql = $sql . 'a.playerCode=b.playerCode and a.gameCode = "' . $game . '" order by a.eventTime desc, a.actionCode asc';
$stmt = $db->prepare($sql);
$results = $stmt->execute();
这不是:
$sql = 'SELECT a.eventCode, a.eventTime, a.teamCode, a.playerCode, b.lastName, b.firstName, b.number, a.xCoord, a.yCoord, a.id ';
$sql = $sql . 'FROM events a, players b ';
$sql = $sql . 'WHERE a.regGUID in ( :regGUID ) and ';
$sql = $sql . 'a.playerCode=b.playerCode and a.gameCode = :game order by a.eventTime desc, a.actionCode asc';
$stmt = $db->prepare($sql);
$stmt->bindValue(':regGUID', $regGUID, PDO::PARAM_STR);
$stmt->bindValue(':game', $game, PDO::PARAM_STR);
$results = $stmt->execute();
我想念什么?谢谢
最佳答案
问题在这里:
$sql = $sql . 'WHERE a.regGUID in ( :regGUID ) and ';
$stmt->bindValue(':regGUID', $regGUID, PDO::PARAM_STR);
我假设$ regGUID是逗号分隔的带引号的字符串列表。
每个查询参数仅接受一个标量值。不是值列表。
因此,您有两种选择:
即使您将参数用于其他标量值,也继续插入$ regGUID字符串。但是您仍然要小心避免SQL注入,因此必须正确形成$ regGUID字符串。您不能只对整个字符串调用PDO :: quote(),这会使它成为包含UUID和逗号的单引号字符串。您必须确保每个UUID字符串均被转义并单独引用,然后将列表内插在一起并将其插值到IN子句中。
$regGUIDs = explode(',', $regGUID);
$regGUIDs = array_map(function ($g) { return $db->quote($g); }, $regGUIDs);
$regGUID = implode(',', $regGUIDs);
$sql = $sql . 'WHERE a.regGUID in (' . $regGUID . ') and ';
explode()将$ regGUID放入数组,并为数组中的每个元素添加一个查询参数。插入查询参数占位符的动态列表。$regGUIDs = explode(',', $regGUID);
$params = array_fill(1, count($regGUIDs), '?');
$sql = $sql . ' WHERE a.regGUID in ( ' . implode(',', $params) . ' ) and ';
您可以在数组循环中使用bindValue(),但是请记住,其他参数也应按位置而不是按名称绑定。当您尝试在同一查询中混合使用两种不同样式的参数时,PDO的错误会使其感到不满意。
而不是使用bindValue(),我只是将参数值数组传递给PDOStatement :: execute(),这要容易得多。
$paramValues = $regGUIDs;
$paramValues[] = $game;
$results = $stmt->execute($paramValues);