28

SQLインジェクションなどを避けるために、準備されたステートメントを使用する適切な方法を学ぼうとしています.

スクリプトを実行すると、スクリプトから 0 Rows Inserted というメッセージが表示されます。これには 1 Rows Inserted と表示され、もちろんテーブルが更新されると予想されます。いくつかの調査を行ったので、準備されたステートメントについて完全にはわかりません。つまり、例ごとに異なります。

テーブルを更新するとき、すべてのフィールドを宣言する必要がありますか?それとも 1 つのフィールドだけを更新しても問題ありませんか??

どの情報も非常に役立ちます。

index.php

<div id="status"></div>

    <div id="maincontent">
    <?php //get data from database.
        require("classes/class.Scripts.inc");
        $insert = new Scripts();
        $insert->read();
        $insert->update();?>

       <form action="index2.php" enctype="multipart/form-data" method="post" name="update" id="update">
              <textarea name="content" id="content" class="detail" spellcheck="true" placeholder="Insert article here"></textarea>
        <input type="submit" id="update" name="update" value="update" />
    </div>

classes/class.Scripts.inc

public function update() {
    if (isset($_POST['update'])) {
        $stmt = $this->mysqli->prepare("UPDATE datadump SET content=? WHERE id=?");
        $id = 1;
        /* Bind our params */                           
        $stmt->bind_param('is', $id, $content);
        /* Set our params */
        $content = isset($_POST['content']) ? $this->mysqli->real_escape_string($_POST['content']) : '';

        /* Execute the prepared Statement */
        $stmt->execute();
        printf("%d Row inserted.\n", $stmt->affected_rows);

    }                   
}
4

3 に答える 3

44 
$stmt = $this->mysqli->prepare("UPDATE datadump SET content=? WHERE id=?");
/* BK: always check whether the prepare() succeeded */
if ($stmt === false) {
  trigger_error($this->mysqli->error, E_USER_ERROR);
  return;
}
$id = 1;
/* Bind our params */
/* BK: variables must be bound in the same order as the params in your SQL.
 * Some people prefer PDO because it supports named parameter. */
$stmt->bind_param('si', $content, $id);

/* Set our params */
/* BK: No need to use escaping when using parameters, in fact, you must not, 
 * because you'll get literal '\' characters in your content. */
$content = $_POST['content'] ?: '';

/* Execute the prepared Statement */
$status = $stmt->execute();
/* BK: always check whether the execute() succeeded */
if ($status === false) {
  trigger_error($stmt->error, E_USER_ERROR);
}
printf("%d Row inserted.\n", $stmt->affected_rows);

あなたの質問について:

スクリプトから 0 Rows Inserted というメッセージが表示されます

これは、パラメーターをバインドしたときにパラメーターの順序を逆にしたためです。したがって、id 列で $content の数値を検索していますが、これはおそらく 0 と解釈されます。したがって、UPDATE の WHERE 句はゼロ行に一致します。

すべてのフィールドを宣言する必要がありますか、それとも 1 つのフィールドだけを更新しても問題ありませんか??

UPDATE ステートメントで設定する列は 1 つだけでかまいません。他の列は変更されません。

于 2013-08-19T14:48:57.920 に答える