44

SQL インジェクション攻撃について調べた後、検索スクリプトを編集しているところです。通常の MySQL 接続の代わりにPDOを使用して、スクリプトから同じ機能を取得しようとしています。そのため、PDO に関する他の投稿を読んでいますが、確信が持てません。これら 2 つのスクリプトは同じ機能を提供しますか?

PDO の場合:

$pdo = new PDO('mysql:host=$host; dbname=$database;', $user, $pass);
$stmt = $pdo->prepare('SELECT * FROM auction WHERE name = :name');
$stmt->bindParam(':name', $_GET['searchdivebay']);
$stmt->execute(array(':name' => $name);

通常の MySQL の場合:

$dbhost = @mysql_connect($host, $user, $pass) or die('Unable to connect to server');

@mysql_select_db('divebay') or die('Unable to select database');
$search = $_GET['searchdivebay'];
$query = trim($search);

$sql = "SELECT * FROM auction WHERE name LIKE '%" . $query . "%'";

if(!isset($query)){
    echo 'Your search was invalid';
    exit;
} //line 18

$result = mysql_query($trim);
$numrows = mysql_num_rows($result);
mysql_close($dbhost);

使用する通常の例を続けます

while($i < $numrows){
    $row = mysql_fetch_array($result);

データベースから一致する結果の配列を作成します。PDOでこれを行うにはどうすればよいですか?

4

2 に答える 2

95

PDOStatement.fetchAllメソッドを見てください。fetchイテレータパターンで使用することもできます。

fetchAllPHPドキュメントからののコードサンプル:

<?php
$sth = $dbh->prepare("SELECT name, colour FROM fruit");
$sth->execute();

/* Fetch all of the remaining rows in the result set */
print("Fetch all of the remaining rows in the result set:\n");
$result = $sth->fetchAll(\PDO::FETCH_ASSOC);
print_r($result);

結果:

Array
(
    [0] => Array
        (
            [NAME] => pear
            [COLOUR] => green
        )

    [1] => Array
        (
            [NAME] => watermelon
            [COLOUR] => pink
        )
)
于 2012-06-06T09:49:58.993 に答える