SQLite中的日期比較

Question

如何在表中聲明日期數據類型？它是簡單的以下？

CREATE TABLE sampleDB (..., sampledate DATE, ...) 

現在，如果我想用通過POST形式;從查詢：

<?php 
    $formdate = $_POST["inputname"]; 

    if($formdate) { 
     echo "Searching using query: ".$formdate."<br>"; 
     $db = new SQLiteDatabase("testDB.db"); 
     $query = $db->query("SELECT * FROM sampleDB WHERE sampledate = ".$formdate); 
     while($entry = $query->fetch(SQLITE_ASSOC)) { 
      echo "result: " ... "<br>"; 
     } 
    } 
?> 

這似乎並沒有工作。它不會返回我想要的條目。

當我將日期作爲字符串存儲並比較字符串時，一切正常，但如果SQLite有DATE數據類型，我認爲應該有方法使用它！

Answer 1

您發佈的代碼存在漏洞，似乎可以讓任何用戶輕鬆注入任意SQL命令。解決這個問題的兩種常見方法是（1）消毒輸入和（2）使用將命令與（可能不可信的）參數分開的API。對於（1）我會在PHP文檔中尋找特定於SQL的轉義函數。 （2）的一個衆所周知的例子是Perl的DBI。 （我不知道PHP是否有類似的庫。）

在SQLite中，沒有日期或時間類型。如果數據庫中已經有日期字符串，則必須確保它們的格式一致。來自SQLite手冊的Date and Time Functions列出了一些可能對您的查詢有用的函數。