mysqli bind param

notyyy · 20.05.2008, 16:54

Hallo, ich beschäftige mich momentan ein wenig mit mysqli an folgendem verzweifel ich so ein wenig:

PHP-Code:

  $userById = $mysqli->prepare('UPDATE person set firstname="?", lastname="?" WHERE id =?');

    $userById->bind_param('ssd',$firstname,$lastname,$id);

    

        $id = 1;

        $firstname = 'Tim_neu';

        $lastname = 'Tim_neu_lastname';

    $userById->execute();

    

        $id = 2;

        $firstname = 'irgendwer_neu';

        $lastname = 'irgendwer_lastname';

    $userById->execute();

php sagt mir, die anzahl der Variablen würde nicht stimmen

Code:

Warning: mysqli_stmt::bind_param() [function.mysqli-stmt-bind-param]: Number of variables doesn't match number of parameters in prepared statement

Manko10 · 20.05.2008, 17:08

Hallo,

lass mal die '...' im SQL-Statement weg.

notyyy · 20.05.2008, 17:28

argh, vielen dank

wie siehts denn hier mit injectionen aus ? muss man sich da sorgen machen ?

Manko10 · 20.05.2008, 18:26

Nein. Die Parameter werden automatisch escapt.
Dass du die "..." nicht angeben darfst hat den Grund, dass Fragezeichen nicht überall im Query geparst werden. Unter anderem nicht in Stringangaben (was durchaus sinnvoll ist). Bei String-Parametern werden diese deshalb automatisch hinzugefügt. Immerhin hast du mit dem ersten Parameter angegeben, um welchen Datentyp es sich handelt. Ansonsten wäre dieser Parameter ja witzlos, wenn du dich selbst drum kümmern müsstest.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
MySQLi: bind_param & LIKE	snatch-ic	Datenbanken	3	22.12.2009 23:09
Schützt mysqli vor SQL-Injections?	snatch-ic	Datenbanken	6	08.08.2009 15:49
[Erledigt] Problem mit MySQLi Login + Session	Raito	PHP Tipps 2008	7	29.07.2008 22:49
Verstädnissproblem MySQLI	Kein Genie	PHP Tipps 2008	2	24.06.2008 16:16
Anfängerproblem: Weiterleitung ohne Param	Igäl	Server, Hosting und Workstations	3	04.09.2007 17:47
Geltungsbereich mysqli Objekt	R4v3r	PHP Tipps 2007	12	28.03.2007 22:01
PHP5 -> MySQLi erben	snatch-ic	PHP Tipps 2007	1	08.02.2007 18:05
mysqli als Objekt	CC84	PHP-Fortgeschrittene	31	11.05.2006 20:39
How to install PHP onto Apche - oder wie bind ich PHP ein?	Webdesigner	Server, Hosting und Workstations	10	30.01.2006 21:06
MySQL vs. MySQLi	Shade	PHP Tipps 2007	4	05.11.2005 15:22
Wie verwende ich mysqli?	bicpi	PHP Tipps 2005-2	5	03.08.2005 22:54
Bind und die Firewall	Anubis2183	Server, Hosting und Workstations	8	01.07.2005 20:42
Kein mysqli Objekt möglich?!		Datenbanken	8	09.06.2005 18:17
PHP Fatal error: Class 'MySQLi' not found in	CSS	PHP Tipps 2005	6	13.04.2005 15:24
[Erledigt] LDAP Bind - unknown error		PHP-Fortgeschrittene	0	27.01.2005 17:11

20.05.2008, 16:54
notyyy Erfahrener Benutzer Registriert seit: 12.05.2005 Beiträge: 1.038 PHP-Kenntnisse: Fortgeschritten	mysqli bind param Hallo, ich beschäftige mich momentan ein wenig mit mysqli an folgendem verzweifel ich so ein wenig: PHP-Code: `$userById = $mysqli->prepare('UPDATE person set firstname="?", lastname="?" WHERE id =?'); $userById->bind_param('ssd',$firstname,$lastname,$id); $id = 1; $firstname = 'Tim_neu'; $lastname = 'Tim_neu_lastname'; $userById->execute(); $id = 2; $firstname = 'irgendwer_neu'; $lastname = 'irgendwer_lastname'; $userById->execute();` php sagt mir, die anzahl der Variablen würde nicht stimmen Code: Warning: mysqli_stmt::bind_param() [function.mysqli-stmt-bind-param]: Number of variables doesn't match number of parameters in prepared statement


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

20.05.2008, 17:08
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.709 PHP-Kenntnisse: Fortgeschritten	Hallo, lass mal die '...' im SQL-Statement weg. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

20.05.2008, 17:28
notyyy Erfahrener Benutzer Registriert seit: 12.05.2005 Beiträge: 1.038 PHP-Kenntnisse: Fortgeschritten	argh, vielen dank wie siehts denn hier mit injectionen aus ? muss man sich da sorgen machen ?

20.05.2008, 18:26
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.709 PHP-Kenntnisse: Fortgeschritten	Nein. Die Parameter werden automatisch escapt. Dass du die "..." nicht angeben darfst hat den Grund, dass Fragezeichen nicht überall im Query geparst werden. Unter anderem nicht in Stringangaben (was durchaus sinnvoll ist). Bei String-Parametern werden diese deshalb automatisch hinzugefügt. Immerhin hast du mit dem ersten Parameter angegeben, um welchen Datentyp es sich handelt. Ansonsten wäre dieser Parameter ja witzlos, wenn du dich selbst drum kümmern müsstest.