Witam.
W poniższym zapytaniu do bazy MSQLi używam PDO. O ile w poniższym zapytaniu nie ma problemu i wszystko działa jak należy, to takie proste zapytanie "query" jest potencjalnie niebezpieczne.

[PHP] pobierz, plaintext 
 public function addVote($type,$artId){
        $vote = $this->db->query("UPDATE votes SET $type=$type+1 WHERE art_id=$artId");
}
[PHP] pobierz, plaintext 

Chciałem użyć bindowania danych jak poniżej ale niestety PDO sypie błędem.

[PHP] pobierz, plaintext 
public function addVote($type,$artId){
        $vote = $this->db->prepare("UPDATE votes SET :col=:type+1 WHERE art_id=:artId");
        $vote->bindValue(':type', $type, PDO::PARAM_STR);
        $vote->bindValue(':col', $type, PDO::PARAM_STR);
        $vote->bindValue(':artId', $artId, PDO::PARAM_INT);
        $vote->execute();
}
[PHP] pobierz, plaintext 

Czy ktoś wie może jak napisać update z inkrementacją?

A po drugie. Może nie ma tu sensu stosować bindowania jeśli obie te zmienne nie pochodzą z formularza tylko z atrybutów HTML?

Dziękuję

Nie można bindować nazw kolumn i tabel.

Sprawdziłem jeszcze raz i tym razem nazwę kolumny zapisałem jako zmienną. I też nie działa. Więc czy można to polecenie z inkrementacją zapisać inaczej?

[PHP] pobierz, plaintext 
    public function addVote($type,$artId){
            $vote = $this->db->prepare("UPDATE votes SET $type=:type+1 WHERE art_id=:artId");
            $vote->bindValue(':type', $type, PDO::PARAM_STR);
            $vote->bindValue(':col', $type, PDO::PARAM_STR);
            $vote->bindValue(':artId', $artId, PDO::PARAM_INT);
            $vote->execute();
    }
[PHP] pobierz, plaintext 

A drugie type?

Ha ha- to jest dopiero bindowanie(lepsze od mojego).

No tak. To ponowie pytanie drugie.
Czy jest ryzyko sql injection jeśli zmienne nie pochodzą z formularza tylko z atrybutów HTML?



Rozwiń temat albo daruj sobie takie odpowiedzi.

http://stackoverflow.com/a/182353