用createCommand更新Yii bindValue

Question

我在Yii中使用createCommand，我想知道如何在params中使用bindValue，Ex：

Yii::app()->db->createCommand()
                            ->update('table', array(
                            'field'=>'$valuefield',
                            ), 'id_table=:id_table', array(':id_table'=>$id_table));

在这种情况下，$valuefield和$id_table的值受到保护吗？还是我应该手动创建sql查询并使用bindValue传递参数？

谢谢!

Answer 1

在这种情况下，$valuefield和$id_table的值受到保护吗？

是。方法update自动绑定数组在第二个param中传递的值。另外，你还用手绑定了条件的参数。若要防止SQL注入，请始终使用绑定。