Одиночные кавычки запрещают bindValue заменять метку заполнителя

Question

Когда я готовлю инструкцию с bindValue, метка-заглушка не заменяется, если она окружена одинарными кавычками. Это проблематично, поскольку строки SQL окружены одинарными кавычками, чтобы избежать конфликтов ключевых слов. Посмотрите мои прикрепления со скринами содержимого базы данных после вставки и один раз без одинарных кавычек. Я уже сообщал о bug, но пока я не уверен, если это не просто проблема с кодировкой. Правильно ли использовать одинарные кавычки, т. Е. Если эта работа/это действительно ошибка?

С quoutes Без quoutes

Answer 1

Это не ошибка. Просто не используйте одиночные кавычки. Механизм bindValue не просто заменяет ваш: путь строкой в ​​вашем заявлении. Никакой риск конфликтов имен. Смотрите это как своеобразное пространство имен. :-)

: Подготовленные операторы обычно выполняются с помощью двоичного протокола, отличного от SQL, для обеспечения эффективности и защиты от SQL-инъекций, но с некоторыми СУБД, такими как MySQL, также доступны с использованием синтаксиса SQL для целей отладки.

http://en.wikipedia.org/wiki/SQL_injection#Parameterized_statements: В большинстве платформ разработки могут использоваться параметризованные операторы, которые работают с параметрами (иногда называемые заполнителями или связующими переменными) вместо того, чтобы вставлять пользовательский ввод в оператор. Заполнитель может хранить только данные данного типа, а не произвольный фрагмент SQL. Следовательно, SQL-инъекция просто будет рассматриваться как странное (и, вероятно, недопустимое) значение параметра.