CodeIgniter 透過PDO連線使用 bindParam 中使用自訂的參數名稱
在CI的官方教學中,如果想要避免SQL injection,所使用的方法如下
$sql = "SELECT * FROM some_table WHERE id = ? AND status = ? AND author = ?";
$this->db->query($sql, array(3, 'live', 'Rick'));
這種作法有個很大的缺點就是變數必須依照順序輸入,如果變數一多很容易造成維護上的麻煩。
而在PDO中有bindParam的方式可以讓使用者使用自訂的名稱來傳入參數。
因此在CI中可以透過PDO連線來達成目的
作法如下:
使用前先確定伺服器上有安裝PDO,並確認CI的資料夾中有pdo的driver(如果是直接從官網下載的應該已經包含在/system/database/driver/資料夾中了)
首先修改config/batabase.php中的連線設定,將driver改成PDO,並修改hostname的格式
$db['default'] = array(
'dsn' => '',
'hostname' => 'mysql:host=localhost',
'username' => 'username',
'password' => 'password',
'database' => 'dbname',
'dbdriver' => 'pdo',
'dbprefix' => '',
'pconnect' => FALSE,
'db_debug' => (ENVIRONMENT !== 'production'),
'cache_on' => FALSE,
'cachedir' => '',
'char_set' => 'utf8',
'dbcollat' => 'utf8_general_ci',
'swap_pre' => '',
'encrypt' => FALSE,
'compress' => FALSE,
'stricton' => FALSE,
'failover' => array(),
'save_queries' => TRUE
);
接下來只要在連線時如下使用
$this->load->database();
$sql="SELECT * FROM some_table WHERE id = :id AND status = :status AND author = :author";
$query = $this->db->conn_id->prepare($sql);
$query->bindParam(":id", $id);
$query->bindParam(":status", $status);
$query->bindParam(":author", $author);
$query->execute();
$result = $query->fetchAll();
就可以得到結果。