3

この行を正しく実行しない理由がわかりません:

try {
    $sql = "UPDATE t_perfiles_permisos 
        SET :tipo = :valor
            WHERE Area_Permiso = :area AND Id_Perfil = :idp";
    $result = $this->dbConnect->prepare($sql) or die ($sql);
    $result->bindParam(':tipo',$this->tipo,PDO::PARAM_STR);
    $result->bindParam(':valor',$this->valor,PDO::PARAM_INT); 
    $result->bindParam(':area',$this->area,PDO::PARAM_STR);
    $result->bindParam(':idp',$this->idp,PDO::PARAM_INT);

    $result->execute();
} catch (PDOException $e) {
    echo "Error!! No se puede establecer el permiso: ".$e->getMessage()."<br/>";
    return false;
}

エラー:

Error!! No se puede establecer el permiso: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''Buscar' = '1' WHERE Area_Permiso = 'Perfiles' AND Id_Perfil = '4'' at line 2
4

2 に答える 2

2

問題は:

SET :tipo = :valor

列名ではなく、値に対してのみバインドされたパラメーターを使用できます。

この場合に行う必要があるのは、SQL ステートメントで通常の変数を使用し、その変数を許可された列名のホワイト リストと照合することです。

SET `{$checked_against_whitelist_column_name}` = :valor
于 2012-09-02T01:13:23.307 に答える
0

列名を「バインド」するべきではありません。あなたが持っている場所

SET :tipo = :valor

これは適切な構文ではありません。代わりに

SET tipo=:valor

そして、あなたはそれを持っています

于 2012-09-02T01:13:35.350 に答える