PDO数据库访问，其中title = $title

Question

我正在努力学习如何使用PDO而不是MySQLi来访问数据库，而且我在从数据库中选择数据时遇到了困难。我想用：

$STH = $DBH->query('SELECT * FROM ratings WHERE title=$title ORDER BY date ASC');
$STH->setFetchMode(PDO::FETCH_ASSOC);

while($row = $STH->fetch()) {
    echo $row['title']; 
}

但我发现了一个错误：

致命错误:在第6行的/home/owencont/public_html/owenstest.com/ratemystudents/index.php中调用非对象上的成员函数setFetchMode()

如果我拿出WHERE语句就行了。如果行的值与变量匹配，如何选择行？

谢谢,

欧文

Answer 1

这很可能是SQL语法错误，因为您忘记引用$title了。它在查询中以空字结束(甚至没有作为字符串进行内插)，从而导致错误。并且您的PDO连接没有配置为报告错误。对->quote()之前的参数使用->query()：

$title = $DBH->quote($title);
$STH = $DBH->query("SELECT * FROM ratings WHERE title=$title ");

或者更好的是，使用参数化SQL：

$STH = $DBH->prepare("SELECT * FROM ratings WHERE title=? ");
$STH->execute(array($title));

Answer 2

看看PDO：：准备和PDOStatement::execute。向查询添加用户内容的最安全方法是准备一个基本语句并将参数绑定到该语句。示例(注意SQL语句中的问号)：

$STH = $DBH->query('SELECT * FROM ratings WHERE title=? ORDER BY date ASC');
$STH->execute( array( $title ) );

while( $row = $STH->fetch( PDO::FETCH_ASSOC ) );

Answer 3

1. 让PDO抛出错误，这样您就可以看到到底出了什么问题。请参阅如何从PDO中抽取错误信息？
2. 您可能忽略了$title周围的引号，但是这个场景实际上需要使用准备好的陈述。