在 Mysql/PHP Prepared Statement 中按 rand ($foo)

我使用 PHP 的 rand() 生成一个随机字符串并将其存储在会话中。

之后我想在准备好的语句中使用它，以便在会话中始终获得相同的随机结果：

SELECT * from foo WHERE id = ? ORDER BY rand ($rand)

如何保护它免受 SQL 注入？

关于什么

settype($rand, "integer");

谢谢！

眼眸繁星

浏览 103回答 1

DIEA

RAND arg 也可以是一个准备好的值：SELECT * from foo WHERE id = ? ORDER BY rand ( ? )不允许作为准备好的值参数的事情是：SQL 语法数据库名称表名列名

随时随地看视频慕课网APP