設定值設置爲NULL，而不是「NULL」

Question

我有增加varhcars和整數到一個數據庫行的功能

public function addItem($id, $site, $price, $quantity, $condition, 
    $sellerName, $sellerRating, $sellerLocation, $description, $link){ 

    $q = "INSERT INTO tbl_items VALUES(
     '$id', 
     '$site', 
     $price, 
     $quantity, 
     '$condition', 
     '$sellerName', 
     $sellerRating, 
    '$sellerLocation', 
    '$description', 
    '$link', 
    ".time().")"; 

    return mysql_query($q, $this->connection);  
} 

有可能是在那裏我可以決定，我想成立一​​個varchar值情況NULL，但問題是如果我將字符串NULL作爲參數發送，它將始終被視爲字符串。

例如

addItem("id1", "site1", 100, NULL, "NULL", "NULL", "NULL", "NULL", "NULL", "NULL",); 

如何避免NULL治療我的查詢字符串？

Answer 1

簡單。 不要引用它，因爲'NULL'總是一個字符串，NULL是..好，NULL。

怎麼樣？使用佔位符，即準備報表。

這將負責任何引用（根據需要）和防止SQL注入攻擊。贏得。

請參閱How can I prevent SQL injection in PHP?，其中包含有關編寫安全查詢的信息並且具有mysqli和PDO方法的示例。