Re: [請益] PHP Array

看板PHP作者GALINE (天真可愛CQD)時間11年前 (2014/06/03 01:41)推噓1(1推 0噓 12→)

留言13則, 5人參與討論串2/2 (看更多)

※ 引述《orz811017 (orz811017)》之銘言： : http://ppt.cc/OtRM : 這圖中為什麼前者的 valeue->row[0] 會錯誤 : Catchable fatal error: Object of class stdClass could not be converted to : string 以這個例子來說，PHP 認定成 "$value->$row[0]" 一個兩個而不是 "$value->$row[0]" 一個變數但是 $value 是沒辦法轉換成字串的物件，所以 PHP 就生氣了。　這個切字串的判斷也是很合理的如果今天寫 code 的人真的要輸出「XXX->OOO」這個字串，應該也會寫成這樣... 這部份的處理方法就如同上面推文，改成 "{$value->$row[0]}" 就可以解決了這樣 PHP 才知道正確的斷點在哪裡然後針對這段 code 提出一點其他的建議 1. 資料欄位名稱盡量不要用中文，偶而會發生靈異現象，像是 http://twpug.net/x/modules/newbb/viewtopic.php?topic_id=2328 http://www.dotblogs.com.tw/bruce655/archive/2012/05/30/72480.aspx 雖然沒碰到問題的話就沒問題... 2. 任何變數餵進 SQL 之前都要作過 Escape，例如 "SELECT * FROM `company` WHERE name = '{$name}'" 　如果今天要查白蘭氏而輸入了「Brand's」，那就會組合成 "SELECT * FROM `company` WHERE name = 'Brand's'" ^^^ 這個地方會有 SQL 錯誤如果你用 mysql_query() 來查資料，那麼正確的作法是用 mysql_real_escape_string() 把輸入值洗過一次，例如 "SELECT * FROM `company` WHERE name = '".mysql_real_escape_string($name)."'" 組出來的 SQL 會是 "SELECT * FROM `company` WHERE name = 'Brand\'s'" ^^ 這個單引號被跳脫掉了可能有人說用 addslashes() 可以作類似的事情，但是不要這麼用[汗] 用 mysql_query() 來下 SQL 的時候，你只應該用 mysql_real_escape_string() 沒有其他選擇 3. 請愛用 sprintf()，尤其是你想要作 2. 的時候。例如可以把 2. 的 SQL 改寫成 $sql = sprintf( "SELECT * FROM `company` WHERE name = '%s'", mysql_real_escape_string($name) ); 或者更長一點的例子 $sql = sprintf( "SELECT * FROM `company` WHERE name='%s' AND type='%s' AND address='%s'", mysql_real_escape_string($name), mysql_real_escape_string($type), mysql_real_escape_string($address) ); 原文的例子就更明顯了，我個人覺得這比全部寫在一起更容易閱讀... -- 「是大環境要求的~畢竟沒有總受就沒有故事~╮(╯_╰)╭」 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.27.61.221 ※ 文章網址: http://www.ptt.cc/bbs/PHP/M.1401730903.A.858.html ※ 編輯: GALINE (114.27.61.221), 06/03/2014 02:04:54