hinzufügen Ich möchte meinen aktuellen Code, der ständig mit PDO sql injiziert wird.Wie man Variablenwerte in pdo-> query
Derzeit bin ich mit der Verwendung einer Variablen in einer PDO-Abfrage stecken.
Wenn ich zwei Argumente wie diese
$rowsPerPage = 3;
// by default we show first page
$pageNum = 1;
if (isset($_GET['page'])) {
$pageNum = mysql_real_escape_string($_GET['page']);
}
$offset = ($pageNum - 1) * $rowsPerPage;
Und ich habe Abfrage wie diese
$STH = $DBH->query("SELECT News.ID, LEFT(NewsText,650), Title, AID, Date, imgID," .
"DATE_FORMAT(Date, '%d.%m.%Y.') as formated_date " .
"FROM News, Categories, NewsCheck WHERE Name LIKE '%News - Block%' AND CID=Categories.ID AND JID=News.ID ".
"ORDER BY `Date` DESC LIMIT $offset, $rowsPerPage");
PDO meldet einen Fehler in letzte Zeile der Abfrage ORDER BY Wenn ich diese Zeile ersetzen "ORDER BY Date DESC LIMIT3,3");
alles funktioniert.
Wie also Variablenwerte in PDO :: query hinzufügen?
Aktualisiert: Dank unten zu beantworten Ich habe meinen Code wie dieser
$STH = $DBH->prepare("SELECT News.ID, LEFT(NewsText,650), Title, AID, Date, imgID," .
"DATE_FORMAT(Date, '%d.%m.%Y.') as formated_date " .
"FROM News, Categories, NewsCheck WHERE Name LIKE '%News - Block%' AND CID=Categories.ID AND JID=News.ID ".
"ORDER BY `Date` DESC LIMIT :offset, :rowsPerPage;");
$STH->bindParam(':offset', $offset, PDO::PARAM_STR);
$STH->bindParam(':rowsPerPage', $rowsPerPage, PDO::PARAM_STR);
$STH->execute();
aktualisiert Aber Fehler ist aufgetreten:
Fatal error: Uncaught exception 'PDOException' with message 'SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''-3', '3'' at line 1' in /pdo/test.php:42 Stack trace: #0 /pdo/test.php(42): PDOStatement->execute() #1 {main} thrown in /pdo/test..
zweite Update von PARAM_STR geändert wie diese
TO PARAM_INT$STH->bindParam(':offset', $offset, PDO::PARAM_INT);
$STH->bindParam(':rowsPerPage', $rowsPerPage, PDO::PARAM_INT);
Alles funktioniert.
den Abfrage-String einer Variablen zuweisen, var_dump() die Ergebnisse und hier bitte posten. –