为了使这项工作顺利进行,您需要做一些不同的事情。
确保正在设置$wpdb 到全球使用$wpdb->prefix 而不是硬编码wp_.
Wrap your variables in curly braces.使用
$wpdb 变量而不是表名,如
$wpdb->comments.
$wpdb->prepare() 在执行查询之前
使用$wpdb->prepare()
来自
Codex:
在执行SQL查询之前,必须对SQL查询中的所有数据进行SQL转义,以防止SQL注入攻击。prepare方法为WordPress执行此功能,它支持类似sprintf()和vsprintf()的语法。
sprintf 与大多数函数的调用略有不同。就像array_merge(), 你想说多少就说多少。
首先,指定SQL语句:
$wpdb->prepare(
"SELECT rating
FROM {$wpdb->prefix}ratings
WHERE comment_id = (
SELECT comment_ID
FROM {$wpdb->comments}
WHERE comment_post_ID = %d
)", get_the_ID() )
请注意
%d 在准备声明中?这意味着这里需要一个整数。如果没有从
get_the_ID(), 该过程将出错以保护您的数据。
接下来,按照预期参数在SQL语句中的显示顺序添加这些参数。由于本声明中只有一个,我们添加get_the_ID() 在SQL语句之后。
把它们放在一起
global $wpdb;
$my_query = $wpdb->get_results(
$wpdb->prepare(
"SELECT rating
FROM {$wpdb->prefix}ratings
WHERE comment_id = (
SELECT comment_ID
FROM {$wpdb->comments}
WHERE comment_post_ID = %d
)",
get_the_ID() )
);
