Dynamiczne przygotowane zapytania
Możesz zbudować zapytanie dynamicznie z tablicy $_POST:
Ale NIGDY nie ufaj wprowadzanym przez użytkownika danych, co oznacza, że nie możesz ufać, że dane w $_POST będą zawierać prawidłowe nazwy kolumn.
1. Oczyść dane postów
Możesz zdefiniować tablicę nazw kolumn z białej listy $whitelist = array('field1', 'field2', ...) , a następnie użyj:
$data = array_intersect_key($_POST, array_flip($whitelist));
aby znaleźć przecięcie między kolumnami na białej liście a tablicą $_POST. (Dzięki @BillKarwin)
2. Utwórz zapytanie
private function buildInsertSql($data, $table) {
$columns = "";
$holders = "";
foreach ($data as $column => $value) {
$columns .= ($columns == "") ? "" : ", ";
$columns .= $column;
$holders .= ($holders == "") ? "" : ", ";
$holders .= ":$column";
}
$sql = "INSERT INTO $table ($columns) VALUES ($holders)";
return $sql;
}
Otrzymasz instrukcję SQL w postaci:
$sql = INSERT INTO directory (field1, field2) VALUES (:field1, :field2)
i przygotuj oświadczenie:
$stmt = $dbh->prepare($sql);
3. Parametry wiązania
Następnie możesz dynamicznie powiązać parametry z symbolami zastępczymi:
foreach ($data as $placeholder => $value) {
$stmt->bindValue(":$placeholder", $value);
}
i wykonaj go:
$stmt->execute();
Nieco bardziej zaawansowane...
- Spójrz na ten link Powiązanie z tym samym symbolem zastępczym Aby uzyskać informacje o tym, jak sprawić, by dynamiczne przygotowane zestawienie było bardziej solidne.
- Spójrz na ten link:Powiąż parametry wewnątrz pętli Zastrzeżenie dotyczące wiązania parametrów vs wartości w pętli.
