PHP PDO DB 함수가 요청한 값 대신 1을 반환합니다.

Question

아래 코드를 시도 할 때 약간 혼란 스럽습니다. 원하는 결과가 나타납니다.

include_once('config.class.php'); 
    $db = Core::getInstance();  
    $whr = 'test@nannex.com'; 

    $inv = $db->dbh->prepare("SELECT * FROM ruj_users WHERE email=:whr"); 
    $inv->execute(array(":whr"=>$whr)); 
    $row = $inv->fetch(PDO::FETCH_ASSOC); 
    echo $row['email']; 
    echo $row['full_name']; 

그러나 다음 코드를 실행하면 원하는 결과가 아닌 1이 반환됩니다.

 include_once('config.class.php'); 
    $db = Core::getInstance();  
    $whr = 'test@nannex.com';  

    function fetchUser($whr){ 
    $db = Core::getInstance();    
    $inv = $db->dbh->prepare("SELECT * FROM ruj_users WHERE :whr"); 
      $inv->execute(array(':whr'=>$whr)); 
    $res = $inv->fetch(PDO::FETCH_ASSOC); 
    return $res; 
} 
    $row = fetchUser("email = '".$whr."' "); 
    echo $row['email']; 
    echo $row['full_name']; 

Answer 1

이 쿼리처럼 쿼리의 SQL 주입 및 하드 코드를 방지하기 위해 화이트 목록에 대해 확인해야합니다 :

SELECT * FROM ruj_users WHERE :whr 

확장 할 때 :

표현 email = \'test@nannex.com\' 부울로 MySQL에 의해 평가하고 retu 있도록 항상 truthy입니다됩니다

SELECT * FROM ruj_users WHERE 'email = \'test@nannex.com\'' 

모든 행은 ruj_users입니다. 사용자 정의 조건을 원하는 경우

, 당신은 같은 것을 할 수 있습니다

function fetchUser(array $conditions) 
{ 
    // ... 
    $sql = 'SELECT * FORM ruj_users WHERE'; 
    $params = array(); 
    foreach ($conditions as $column => $value) { 
     if (preg_match('/^[a-z]+$/', $column)) { 
      $sql .= "`$column` = ?"; 
      $params[] = $value; 
     } 
    } 
    $inv = $db->dbh->prepare($sql); 
    $inv->execute(array_values($params)); 
    // ... 
} 

fetchUser(array(
    'email' => 'test@nannex.com', 
    'status' => 23, 
)); 

Answer 2

당신은 기능에서 쿼리에 오류가 있습니다

$inv = $db->dbh->prepare("SELECT * FROM ruj_users WHERE :whr"); 

은 다음과 같아야합니다

$inv = $db->dbh->prepare("SELECT * FROM ruj_users WHERE email=:whr"); 

편집 : 당신은뿐만 아니라 열 이름을 전달하려는 경우, 함수에 다른 변수를 추가해야합니다.

function fetchUser($column, $value) { 

단지 값이 준비된 명령문에 바인딩 할 수 있습니다

참고 열 변수는이 ... WHERE $column = :whr ...