logo标签列表

PHP参数化SQL查询特殊运算符

phpsqloperatorssql-injectionparameterized-query
3

我偶然看到了以下编写参数化SQL查询的方式:

function select_user($uid)
{
    // what is '<<<'?  
    // I can't google any document about it
    // (or I don't know how to search symbol)

    $sqlStr = <<< SQL_STR

         SELECT * FROM user WHERE uid = ?

SQL_STR; // must put in the begin of the line
         // and it must match the word at the right hand side of '= <<<'

    // Code Igniter Database Class
    return $this->db->query($sqlStr, array($uid));
}

以下是我需要转述的问题:

  • 符号 '<<<' 有什么作用?
  • 我的同事说必须匹配 'SQL_STR',为什么?
2个回答
3

一个 Heredoc 用于定义字符串,通常是因为不必像字符串字面值一样在整个字符串中转义引号而得到的好处。

来自手册

Heredoc 文本的行为与双引号括起的字符串相同,但没有双引号。这意味着 Heredoc 中的引号无需转义,但仍然可以使用上述列出的转义码。变量会被扩展,但在 Heredoc 中表达复杂变量时需要注意的事情与字符串相同。

$str = <<<EOD
Example of string
spanning multiple lines
using heredoc syntax.
EOD;
1
你要寻找的是heredoc。就算这个SQL查询与字符串分配没有关系,但这也值得一提。
$html = <<<HTML
    Imagine some HTML here with interspersed $variables
HTML;

当然,这不仅限于HTML。它对于大块文本有很多有用的属性。你可以以一种愉悦的方式将变量插入其中,而且你不必转义单引号或双引号。(根据手册:“Heredoc文本的行为就像一个没有双引号的双引号字符串。”)

网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接