构造sql的方法

PHP sprintf() 函数

参数 format 是转换的格式，以百分比符号 ("%") 开始到转换字符结束。下面的可能的 format 值：

    %% - 返回百分比符号
    %b - 二进制数
    %c - 依照 ASCII 值的字符
    %d - 带符号十进制数
    %e - 可续计数法（比如 1.5e+3）
    %u - 无符号十进制数
    %f - 浮点数(local settings aware)
    %F - 浮点数(not local settings aware)
    %o - 八进制数
    %s - 字符串
    %x - 十六进制数（小写字母）
    %X - 十六进制数（大写字母）

例子 1

例子：
$location = 45;
$num = 'HuSystem\'s Mountain';
$format = "The %s contains %d monkeys";
echo printf($format, $num, $location);

例子 2

//对下面的sql语句进行格式化
$sql = "select username,user_img,user_pwd from tst_user where user_id = 3";
//那么首先列出格式化的变量
//比如说从上一个页面得到一个
$id = 3;//对这个变量进行格式化
$sql = sprintf("select username,user_img,user_pwd from tst_user where user_id = %d", $id);
echo $sql;
//输出的sql : select username,user_img,user_pwd from tst_user where user_id = 3

sprint('格式化的sql',格式化参数1,格式化参数2,...);

对sql语句的安全处理