PHP ->bindValue SQL错误

Question

我有一个SQL查询：

if($stmt = $connection->prepare("INSERT INTO users(login, passwd, logged, register, last_login) VALUES(:login, :passwd, FALSE, NOW(), NULL")) {
    $stmt->bindValue(':login', $login, PDO::PARAM_STR);
    $stmt->bindValue(':passwd', md5($passwd), PDO::PARAM_STR);
    $stmt->execute();
    $stmt->close();
} else {
    echo "query error <b>".$connection->error."</b><br>";
}

它返回这个错误：

连接错误:您的SQL语法出现了错误；请检查与您的MariaDB服务器版本对应的手册，以获得正确的语法，以便在第1行使用near ':login，:passwd，FALSE，NOW()，NULL‘

我怎么才能修好它？

我在Linux上使用MariaDB。

Answer 1

该错误表示您使用的是MySQLi连接，而不是PDO连接。如果这是真的，那么这里有一些错误--因为PDO和MySQLi不混合。

MySQLi不提供命名占位符(就像:placeholder那样)，所以您必须使用?。此外，MySQLi使用的是bind_param()而不是bindValue() (这是一个PDO函数)。

MySQLi的代码如下所示

if ($stmt = $connection->prepare("INSERT INTO users(login, passwd, logged, register, last_login) VALUES(?, ?, FALSE, NOW(), NULL)")) {
    $password = md5($passwd);
    $stmt->bind_param('ss', $login, $password);
    $stmt->execute();
    $stmt->close();
} else {
    echo "query error <b>".$connection->error."</b><br>";
}

在查询结束时也缺少了一个)，我在上面的片段中添加了它。

值得注意的是，md5()并不是一个很好的存储密码的函数。PHP提供了password_hash()和password_verify()，您应该使用它。手册保存了这些函数的示例。

同样值得注意的是，错误只能在开发过程中显示出来。对于实时版本，您不应该显示这样的错误，因为它们可以被利用。

参考文献

• http://php.net/mysqli-stmt.bind-param
• 哈希
• 如何安全地存储用户的密码？

Answer 2

在值()处缺少括号的末尾

VALUES(:login, :passwd, FALSE, NOW(), NULL
VALUES(:login, :passwd, FALSE, NOW(), NULL)