我目前正在学习Wordpress和PHP,我也在使用WooCommerce。我目前有一个包含三个输入字段的表单,我想检查用户输入的订单数据是否为真,以便用户可以进入下一页。
我目前的代码看起来像这样,我不确定我是否在这里找到正确的方向,有什么帮助吗?
if(isset($_POST['submit'])) {
global $wpdb;
$ordernumber = $_POST['ordernmbr'];
$orderfirstname = $_POST['firstname'];
$orderpostnumber = $_POST['postnmbr'];
$ordernumber = stripslashes_deep($ordernumber);
$orderfirstname = stripslashes_deep($orderfirstname);
$orderpostnumber = stripslashes_deep($orderpostnumber);
$result = $wpdb->get_results($wpdb->prepare( "SELECT * FROM $wpdb->wp_postmeta
WHERE post_id = '$ordernumber' AND meta_value = '$orderfirstname'"));
你可以使用prepare来做到这一点:
$sql = 'DELETE FROM `wp_table` WHERE `id_field` = %d';
$wpdb->query($wpdb->prepare($sql, array($_POST['id']))
好消息要知道:
%d - number
%s - string
%f - float
传递的变量数组按顺序工作,所以如果你有一个像这样的查询:
SELECT * FROM `wp_table` WHERE `string_field` = %s AND `id_field` = %d
你做的
array(
$_POST['string'],
$_POST['id']
)
如果它是DELETE / UPDATE使用查询并准备。如果选择使用prepare和get_results。
选择:
$sql = 'SELECT * FROM `wp_table` WHERE `id` = %d';
$sql = $wpdb->prepare($sql, array($_POST['id']));
$res = $wpdb->get_results($sql);
最好的做法是始终使用prepare
但主要用于防止SQL注入攻击,并且由于没有来自用户/访问者的输入或者它们无法影响查询,因此这不是您当前示例中的问题。
但就像我之前所说的那样,最好的做法是使用它,一旦你开始使用它,你永远不会停止,所以在你的例子中你可以这样使用它:
global $wpdb;
$tablename = $wpdb->prefix . "my_custom_table";
$sql = $wpdb->prepare( "SELECT * FROM %s ORDER BY date_created DESC",$tablename );
$results = $wpdb->get_results( $sql , ARRAY_A );
阅读更多关于如何使用它前往codex
您需要将查询条件值添加为准备函数参数。像下面的声明
$wpdb->prepare( "SELECT * FROM {$wpdb->prefix}postmeta WHERE post_id = %d AND meta_value = %s", $ordernumber, $orderfirstname);
对于字符串值,我们使用%s
对于数值,我们使用%d