引用符との違いは何ですか?違いは何ですか?異なる引用符を使用する際にエラーがありますか?PHP:異なる引用符ですか?
$result = pg_query_params($dbconn,
'INSERT INTO users
(username, email, passhash_md5)
VALUES ($1, $2, $3)',
array($username, $email, $passhash_md5
)
$result = pg_query_params($dbconn,
"SELECT user_id
FROM users
WHERE email = $1",
array($email)
)
ユーザーエスケープFROM SELECT user_idのだろうユーザーからのSELECTのuser_idだろう\ nと\ tのような文字を制御するために、一重引用符で囲まれた文字列でも展開されません。 – PhiLho
'$ sql1'のような文字列は、いつも私をうんざらさせます。あなたが_それに変数を含めるには、 '{$ email} 'を使って常に自分の好みを得ます。私の通常のアプローチ: ''どこのemail = "。$ email"、それは文字通り取られないことが絶対的に明らかになります。 – JorenB
もちろん、これらの方法のどれも、あなたが変数と呼んでいても、SQLインジェクションに対して安全です! OPは、一重引用符で$ 1などを使ってpg_query_paramsを使用するのは正しいです。ここでは変数置換は実際には起こりません。 '$ 1'構文は多分誤解を招くかもしれません...他のクエリパラメータ化システムは単に '?'を使用します。 – bobince