我正在使用一堆数据库查询构建一个API.为了避免在每个查询中重复一些预先建立的值,我创建了一些PHP常量.但是我不确定将它们包含在Mysqli准备语句中的正确方法.我知道常量不能通过引用传递.所以我想知道我是否应该为包含常量的查询创建一个变量,或者我是否可以直接将字符串与常量一起传递给prepare()函数.所以我可以这样做,或者我应该在调用prepare()之前创建一个变量并将字符串存储在那里吗？

$stmt = $this->conn->prepare("SELECT city FROM masters WHERE email = ? AND estado != '" . STATE_INACTIVE . "'");
$stmt->bind_param("s", $email );

与

$query = "SELECT city FROM masters WHERE email = ? AND estado != '" . STATE_INACTIVE . "'";
$stmt = $this->conn->prepare($query);
$stmt->bind_param("s", $email );

解决方法:

由于您使用的是常量值,因此通过将值连接到查询中,您不会暴露自己潜在的SQL注入攻击.所以,我认为你有什么好.你的另一个选择是将常量值赋给变量并绑定它,如下所示：

$query = "SELECT city FROM masters WHERE email = ? AND estado != ?";
$inactiveState = STATE_INACTIVE;
$stmt = $this->conn->prepare($query);
$stmt->bind_param("ss", $email, $inactiveState);

值得指出的是,这是mysqli,而不是PDO.如果您使用PDO,您可以这样做：

$query = "SELECT city FROM masters WHERE email = ? AND estado != ?";
$stmt = $this->conn->prepare($query);
$stmt->bindParam(1, $email, PDO::PARAM_STR);
$stmt->bindValue(2, STATE_INACTIVE, PDO::PARAM_STR);