呼叫一個成員函數調用setFetchMode（）上的非對象PDO

Question

Possible Duplicate:
PDO Database access WHERE title = $title

這裏是$消息的內容的示例：

String(108) "\n cc je t'ai envoy� une invitation A plus :p\n "

以下是錯誤消息：

Fatal error: Call to a member function setFetchMode() on a non-object in B:\wamp\www\messages.php on line 101

我的請求不起作用：

$resultats = $connexion->query("SELECT * FROM messages WHERE message LIKE '%$message%'"); 
    $resultats->setFetchMode(PDO::FETCH_OBJ); 
    $occurences= $resultats->rowCount(); 

這個爲什麼有效？ （我通過a更改$消息）：

$resultats = $connexion->query("SELECT * FROM messages WHERE message LIKE '%a%'"); 
     $resultats->setFetchMode(PDO::FETCH_OBJ); 
     $occurences= $resultats->rowCount(); 

Answer 1

只需用PDO與被用於mysql_*不會給你帶來任何好，同樣的技術，你需要採取的parameterized queries的優勢：

$query = $connexion->prepare("SELECT * FROM messages WHERE message LIKE ?"); 
$query->setFetchMode(PDO::FETCH_OBJ); 
if($query->execute(array('%'.$message.'%'))) { 
    // process 
} 
else { 
    // only for debugging purposes, not a live app 
    var_dump($connexion->errorInfo()); 
} 

它執行所有必要自動和正確轉義對於你的參數，你通過​​方法傳遞。

---

至於I used addslashes：這是不安全。使用上面演示的準備好的語句。

除非你生成SQL –實際的SQL邏輯，與用戶沒有空白填充生成的內容–你應該永遠有需要SQL中的PHP變量。

Answer 2

嘗試使用PDO準備。這幾乎相當於mysql_real_escape_string（）。這可能會消除大部分（如果不是全部）由於特殊字符而導致的錯誤。