這是準備和執行bind_param

Question

我試圖插入到數據庫中，但我總是得到迴音的正確方法：

「票Niet的aangemaakt」

我可以用「？」中間變量？

如果是的話，有人可以看到一些錯誤，否則我知道有一個拼寫錯誤 的變量。

<?php 
//this works fine 
$ophaalKlantQuery = "SELECT * FROM klant WHERE klantNaam='$naam'"; 
    $result = $connectie->query($ophaalKlantQuery); 
    if (mysqli_num_rows($result) == 0) { 
     echo "klant niet gevonden"; 
    } 
    while ($row = $result->fetch_assoc()) { 
     if ($row['klantNaam'] === $naam) { 
      echo $row['klantNaam']; 
      $klantID = $row['klantId']; 
     } 
    } 
// everything below doesnt insert 
$insertticket = $connectie->prepare("INSERT INTO ticket (ticketId, inBehandeling, probleem, trefwoorden, prioriteit, aantalXterug, 
         terugstuurLock, lijnNr, datumAanmaak, nogBellen, log, streefdatum, redenTeLaat, klantTevreden, ftsAccountNr, aangewAccountNr, klantId, subCategorieId, 
         binnenkomstId, vVLaptopTypeId, besturingssysteemId) 
         VALUES ('','$inbehandeling',?,?,?, '$aantalXterug','$terugstuurLock','$lijnNr','$datumAanmaak','$check','$log',?,'$redentelaat','$klanttevreden','$fstAccountNr', 
         '$aangewAccountNr','$klantID',?,?,?,?)"); 
      if ($insertticket) { 
       $insertticket->bind_param('ssisiiii', $probleem, $trefwoorden, $prioriteit, $streefdatum, $scategorie, $binnenkomstT, $merktype, $besturingsysteem); 
       if ($insertticket->execute()) { 
        echo 'ticket aangemaakt'; 
        //header("Refresh:5; url=../index.php", true, 303); 
       } 
      }else {echo 'ticket niet aangemaakt';} 
?> 

Answer 1

有不同的語法，但現在做SQL請求的好方法是將SQL從傳遞變量中分離出來。你絕不應該直接在SQL請求字符串中連接一個值。

有關於這方面的文檔，但全球範圍內的事情是用由bind方法自動安全替換的東西替換字符串中的值。

語法的例子： 「？」

'INSERT INTO test (name, age) VALUES (?, ?)' 

'INSERT INTO test (name, age) VALUES (:name, :age)'