请问bindParam里那冒号可不可以不要

qq71151461 · November 16, 2010, 5:17am

$command=$db->createCommand("SELECT * FROM T WHERE username=:username")

1.$command->bindParam(‘username’,$username);

2.$command->bindParam(’:username’,$username);

1和2两种方式好像都可以的

DavidHHuan · November 16, 2010, 3:11pm

那是用来搜索代换字符串之用,理论上是可以去掉的,不过加上可以避免替换冲突.当然你也可以用问号来代替

1114 · November 16, 2010, 3:26pm

我觉得那样做挺麻烦，我喜欢这样用：




$result = Yii::app()->db->createCommand("SELECT * FROM t WHERE username=:username")->queryRow(true,array(':username' => $username) );

clhqk · November 17, 2010, 2:10am

$sql = “SELECT * FROM t WHERE username=’$username’”;

$result = Yii::app()->db->createCommand($sql)->query();

我一般这样写

DavidHHuan · November 18, 2010, 2:23pm

巡洋艦，你这样写的话不是不行，不过用bindParam的话可以避免一下mysql crack

lygmqkl · November 24, 2010, 1:17am

$sql = “SELECT * FROM t WHERE username=’$username’”;

我以前也是这样写，PDO学习时代养成的习惯，后来偏向更多的安全方面，就这样写了

$command=$db->createCommand("SELECT * FROM T WHERE username=:username")

1.$command->bindParam(‘username’,$username);