約 25 の入力フィールドを持つ大きなフォームがあります。
それらをテーブルに挿入しようとしていますが、次の方法を使用する方法を知っている唯一の方法です...
$count = $dbh->exec("INSERT INTO directory(field1, field2) VALUES (':value1', ':value2')");
非常に多くの投稿変数があるため、クエリに全員を入力するよりも良い方法はありますか?
質問する
2121 次
2 に答える
4
準備された動的クエリ
$_POST 配列からクエリを動的に作成できます。
ただし、ユーザー入力を信頼しないでください。つまり、$_POST のデータに有効な列名が含まれているとは信頼できません。
1.投稿データをサニタイズする
ホワイトリストに登録された列名の配列を定義して$whitelist = array('field1', 'field2', ...)から、次を使用できます。
$data = array_intersect_key($_POST, array_flip($whitelist));
ホワイトリストに登録された列と $_POST 配列の共通部分を見つけます。(ありがとう@BillKarwin)
2.クエリを作成する
private function buildInsertSql($data, $table) {
$columns = "";
$holders = "";
foreach ($data as $column => $value) {
$columns .= ($columns == "") ? "" : ", ";
$columns .= $column;
$holders .= ($holders == "") ? "" : ", ";
$holders .= ":$column";
}
$sql = "INSERT INTO $table ($columns) VALUES ($holders)";
return $sql;
}
これにより、次の形式の SQL ステートメントが得られます。
$sql = INSERT INTO directory (field1, field2) VALUES (:field1, :field2)
ステートメントを準備します。
$stmt = $dbh->prepare($sql);
3. パラメータをバインドする
その後、パラメーターをプレースホルダーに動的にバインドできます。
foreach ($data as $placeholder => $value) {
$stmt->bindValue(":$placeholder", $value);
}
そしてそれを実行します:
$stmt->execute();
もう少し上級...
- このリンクBinding to the same placeholder を参照してください。動的プリペアド ステートメントをより堅牢にする方法については、こちらを参照してください。
- このリンクを見てください: Bind Params Inside Loop ループ内のパラメーターと値のバインドに関する警告について。
于 2012-11-11T17:01:28.320 に答える
3
INSERT ステートメントを動的に作成できますが、POST フィールドの制限には注意が必要です。リクエストに有効な列のみが含まれているとは信じないでください。
テーブルと列の識別子も区切ります。デフォルトでは、MySQL はバックティックを識別子区切り文字として使用します。
function execInsert($pdo, $table, $_POST) {
// get a list of columns in $table, either by hard-coding them per table,
// or by querying DESC or INFORMATION_SCHEMA
$real_columns = array('col1', 'col2', 'col3');
$fields = array_intersect_key($_POST, array_flip($real_columns));
if (!$fields) {
// no POST fields match the real columns
return false;
}
$columns = array_map(function($col) { return "`".$col."`"; }, array_keys($fields));
$holders = array_map(function($col) { return ":".$col; }, array_keys($fields));
$values = $fields;
$sql = "INSERT INTO `$table` (" . join(",", $columns) .
" VALUES (" . join(",", $holders) . ")";
if (($stmt = $pdo->prepare($sql)) === false) {
die(print_r($pdo->errorInfo(), true));
}
if (($retval = $stmt->execute($values)) === false) {
die (print_r($stmt->errorInfo(), true));
}
return $retval;
}
于 2012-11-11T17:35:15.723 に答える