我应该如何在 Wordpress 中将准备好的语句与查询中的变量一起使用?
How am I supposed to use prepared statements in Wordpress with variables in a query?
我目前正在学习 Wordpress 和 PHP,我也在使用 WooCommerce。我目前有一个包含三个输入字段的表单,我想检查用户输入的订单数据是否真实,以便用户可以继续到下一页。
我当前的代码是这样的,我不确定我的方向是否正确,有帮助吗?
if(isset($_POST['submit'])) {
global $wpdb;
$ordernumber = $_POST['ordernmbr'];
$orderfirstname = $_POST['firstname'];
$orderpostnumber = $_POST['postnmbr'];
$ordernumber = stripslashes_deep($ordernumber);
$orderfirstname = stripslashes_deep($orderfirstname);
$orderpostnumber = stripslashes_deep($orderpostnumber);
$result = $wpdb->get_results($wpdb->prepare( "SELECT * FROM $wpdb->wp_postmeta
WHERE post_id = '$ordernumber' AND meta_value = '$orderfirstname'"));
您需要将查询条件值添加为准备函数参数。喜欢下面的语句
$wpdb->prepare( "SELECT * FROM {$wpdb->prefix}postmeta WHERE post_id = %d AND meta_value = %s", $ordernumber, $orderfirstname);
对于字符串值,我们使用 %s
对于数值,我们使用 %d
最佳做法是始终使用 prepare,但它的主要用途是防止 SQL 注入攻击,并且由于没有来自 users/visitors 的输入,或者它们可以'影响查询然后这在您当前的示例中不是问题。
但正如我之前所说,使用它是最佳实践,一旦开始使用它就永远不会停止,因此在您的示例中,您可以像这样使用它:
global $wpdb;
$tablename = $wpdb->prefix . "my_custom_table";
$sql = $wpdb->prepare( "SELECT * FROM %s ORDER BY date_created DESC",$tablename );
$results = $wpdb->get_results( $sql , ARRAY_A );
要阅读有关如何使用它的更多信息,请前往 codex
你可以使用 prepare:
$sql = 'DELETE FROM `wp_table` WHERE `id_field` = %d';
$wpdb->query($wpdb->prepare($sql, array($_POST['id']))
好消息:
%d - number
%s - string
%f - float
传递的变量数组按顺序工作,所以如果您有这样的查询:
SELECT * FROM `wp_table` WHERE `string_field` = %s AND `id_field` = %d
你会做
array(
$_POST['string'],
$_POST['id']
)
如果它是 DELETE/UPDATE 使用查询和准备。如果 select 使用 prepare 和 get_results.
SELECT:
$sql = 'SELECT * FROM `wp_table` WHERE `id` = %d';
$sql = $wpdb->prepare($sql, array($_POST['id']));
$res = $wpdb->get_results($sql);
我目前正在学习 Wordpress 和 PHP,我也在使用 WooCommerce。我目前有一个包含三个输入字段的表单,我想检查用户输入的订单数据是否真实,以便用户可以继续到下一页。
我当前的代码是这样的,我不确定我的方向是否正确,有帮助吗?
if(isset($_POST['submit'])) {
global $wpdb;
$ordernumber = $_POST['ordernmbr'];
$orderfirstname = $_POST['firstname'];
$orderpostnumber = $_POST['postnmbr'];
$ordernumber = stripslashes_deep($ordernumber);
$orderfirstname = stripslashes_deep($orderfirstname);
$orderpostnumber = stripslashes_deep($orderpostnumber);
$result = $wpdb->get_results($wpdb->prepare( "SELECT * FROM $wpdb->wp_postmeta
WHERE post_id = '$ordernumber' AND meta_value = '$orderfirstname'"));
您需要将查询条件值添加为准备函数参数。喜欢下面的语句
$wpdb->prepare( "SELECT * FROM {$wpdb->prefix}postmeta WHERE post_id = %d AND meta_value = %s", $ordernumber, $orderfirstname);
对于字符串值,我们使用 %s
对于数值,我们使用 %d
最佳做法是始终使用 prepare,但它的主要用途是防止 SQL 注入攻击,并且由于没有来自 users/visitors 的输入,或者它们可以'影响查询然后这在您当前的示例中不是问题。
但正如我之前所说,使用它是最佳实践,一旦开始使用它就永远不会停止,因此在您的示例中,您可以像这样使用它:
global $wpdb;
$tablename = $wpdb->prefix . "my_custom_table";
$sql = $wpdb->prepare( "SELECT * FROM %s ORDER BY date_created DESC",$tablename );
$results = $wpdb->get_results( $sql , ARRAY_A );
要阅读有关如何使用它的更多信息,请前往 codex
你可以使用 prepare:
$sql = 'DELETE FROM `wp_table` WHERE `id_field` = %d';
$wpdb->query($wpdb->prepare($sql, array($_POST['id']))
好消息:
%d - number
%s - string
%f - float
传递的变量数组按顺序工作,所以如果您有这样的查询:
SELECT * FROM `wp_table` WHERE `string_field` = %s AND `id_field` = %d
你会做
array(
$_POST['string'],
$_POST['id']
)
如果它是 DELETE/UPDATE 使用查询和准备。如果 select 使用 prepare 和 get_results.
SELECT:
$sql = 'SELECT * FROM `wp_table` WHERE `id` = %d';
$sql = $wpdb->prepare($sql, array($_POST['id']));
$res = $wpdb->get_results($sql);