※ 引述《orz811017 (orz811017)》之銘言：
: http://ppt.cc/OtRM
: 這圖中為什麼 前者的 valeue->row[0] 會錯誤
: Catchable fatal error: Object of class stdClass could not be converted to
: string
以這個例子來說，PHP 認定成
"$value->$row[0]"
一個 兩個
而不是
"$value->$row[0]"
一個變數
但是 $value 是沒辦法轉換成字串的物件，所以 PHP 就生氣了。　
這個切字串的判斷也是很合理的
如果今天寫 code 的人真的要輸出「XXX->OOO」這個字串，應該也會寫成這樣...
這部份的處理方法就如同上面推文，改成 "{$value->$row[0]}" 就可以解決了
這樣 PHP 才知道正確的斷點在哪裡
然後針對這段 code 提出一點其他的建議
1. 資料欄位名稱盡量不要用中文，偶而會發生靈異現象，像是
http://twpug.net/x/modules/newbb/viewtopic.php?topic_id=2328
http://www.dotblogs.com.tw/bruce655/archive/2012/05/30/72480.aspx
雖然沒碰到問題的話就沒問題...
2. 任何變數餵進 SQL 之前都要作過 Escape，例如
"SELECT * FROM `company` WHERE name = '{$name}'"
　 如果今天要查白蘭氏而輸入了「Brand's」，那就會組合成
"SELECT * FROM `company` WHERE name = 'Brand's'"
^^^ 這個地方會有 SQL 錯誤
如果你用 mysql_query() 來查資料，那麼正確的作法是用
mysql_real_escape_string() 把輸入值洗過一次，例如
"SELECT * FROM `company` WHERE name = '".mysql_real_escape_string($name)."'"
組出來的 SQL 會是
"SELECT * FROM `company` WHERE name = 'Brand\'s'"
^^ 這個單引號被跳脫掉了
可能有人說用 addslashes() 可以作類似的事情，但是不要這麼用[汗]
用 mysql_query() 來下 SQL 的時候，你只應該用 mysql_real_escape_string()
沒有其他選擇
3. 請愛用 sprintf()，尤其是你想要作 2. 的時候。例如可以把 2. 的 SQL 改寫成
$sql = sprintf(
"SELECT * FROM `company` WHERE name = '%s'",
mysql_real_escape_string($name)
);
或者更長一點的例子
$sql = sprintf(
"SELECT * FROM `company` WHERE name='%s' AND type='%s' AND address='%s'",
mysql_real_escape_string($name),
mysql_real_escape_string($type),
mysql_real_escape_string($address)
);
原文的例子就更明顯了，我個人覺得這比全部寫在一起更容易閱讀...

雖然改用mysqli/pdo 然後用prepare比escape來得好www

中文屬性名沒有碰過 但是有碰過數字屬性名寫成 $object->{1}->子屬性 才能讀取 XP來源應該是從XML或JSON轉過來的…

以這個例子連欄位名稱都是變數（這也是壞味道...）prepared statement *好像*沒辦法處理的樣子，不太確定

prepared statement 可以阿. 他就是讓你把 query 跟 參數切開，避免參數被當作語法的一部分，所以只要參數最後是個值，長的再奇怪都可以.

這篇收益良多 謝謝大大!!欄位名稱用變數 是因為想要嘗試用LOOP寫好完整的指令(自己有點懶) 而且其他地方也會用到相同的欄位名稱就想說乾脆全部設為變數比較方便