Início / user-6196568

shingo's questions

Martin Hope
shingo
Asked: 2023-11-27 22:42:29 +0800 CST
  • 6

Eu tenho um procedimento armazenado simples:

DELIMITER $$
CREATE PROCEDURE `findUserByName`(IN `name` VARCHAR(36))
BEGIN
  set @name = name;
  PREPARE findStmt FROM 'SELECT * FROM user WHERE name=?';
  EXECUTE findStmt USING @name;
END$$

Eu chamo isso em PHP com o método prepare:

$stmt = $mysqli->prepare('CALL findUserByName(?)');
$stmt->execute([$inputName]);

Tenho 2 perguntas sobre o código acima:

  1. Esta instrução de atribuição set @name = name;parece um tanto redundante. Posso usar o parâmetro diretamente name? O MySQL não me permite usar USING name, também tentei alterar o nome do parâmetro para @name, mas não será reconhecido.

  2. Como usei o método prepare em PHP, é seguro concatenar o parâmetro com SQL?

    set @sql = CONCAT('SELECT * FROM user WHERE name=''', name, '''');
PREPARE findStmt FROM @sql;
EXECUTE findStmt;