- 1 名前:nobodyさん mailto:sage [2013/11/10(日) 15:46:09.34 ID:???]
- 質問者はまず>>1を良く読むこと(必須!)
過去スレ、関連スレ、FAQなどは>>2-10辺り
次スレは>>980が立てる。10分以内に立たない場合、宣言してから立てたい人が立てること。
◆前スレ
【PHP】下らねぇ質問はID出して書き込みやがれ 130
kohada.2ch.net/test/read.cgi/php/1379566039/
◆質問用テンプレ
【OS名】CentOS
【PHPのバージョン】5.3
【連携ソフトウェア】MySQL ImageMagick
【質問内容】
◆質問する時の注意
・ スレを上げて自分のIDを表示させること。(メール欄に何も記述しない。専ブラのsageチェックを外す)
・ 己の行った操作、変更などを詳しく明記すること。
・ エラーメッセージはそのまま表記すること。「エラーが出ます」だけでは回答不可。
・ 質問者として、態度をわきまえること。
・ 事前に関連リンクの公式マニュアル、リファレンス本くらいはちゃんと目を通しておくこと。
(PHPで最良の教本はこの公式マニュアル。市販の書籍は嘘が多いので鵜呑みにしない。)
◆質問後の注意
・2回目以降は最初に質問した際のレス番号を入れて、偽者防止に必ずIDを表示させること。
・解決しなくても回答をもらった場合はお礼を言うこと。
(荒らし、煽りは除く。煽られたときも、無闇に反論せずスルーすること。)
◆回答者への注意
・誰にレスしているのか分からないと困るので、>>(アンカー)をつけて回答すること。
【その他諸注意】
・SQL・正規表現・PEAR・テンプレート(Smarty等)・フレームワークは各該当スレへ
- 546 名前:nobodyさん mailto:sage [2013/11/27(水) 06:54:22.79 ID:???]
- そりゃbindValue(Param)は字のごとく、(変数)値拘束だからな。
カラム名や文や演算子には使えない。
>>484の例で使えるのは3番の5の部分のみ。
'<'っていう演算子にPARAM_STRしてるのはちょっと笑ってしまったわ。
- 547 名前:nobodyさん mailto:sage [2013/11/27(水) 07:13:21.31 ID:???]
- $col = 'id';
$com = '<';
$query = "SELECT * FROM table WHERE {$col} {$com} ?";
$st = $pdo->prepare($query);
$st->bindvalue(1, '5', PDO::PARAM_INT);
$st->execute();
$colと$comが外から受け取る値なら、適切な処理をしないと、
全部SELECTしてしまうような事態になりかねないので、
セキュリティに自信がないならお勧めしない。
|
 |
