Dynamicky připravené dotazy
Dotaz můžete sestavit dynamicky z pole $_POST:
Ale NIKDY nedůvěřujte uživatelskému vstupu, což znamená, že nemůžete věřit, že data v $_POST budou obsahovat platné názvy sloupců.
1. Dezinfikujte data příspěvků
Můžete definovat pole názvů sloupců na seznamu povolených $whitelist = array('field1', 'field2', ...)
a poté použijte:
$data = array_intersect_key($_POST, array_flip($whitelist));
najít průsečík mezi sloupci na seznamu povolených a polem $_POST. (Díky @BillKarwin)
2. Sestavte dotaz
private function buildInsertSql($data, $table) {
$columns = "";
$holders = "";
foreach ($data as $column => $value) {
$columns .= ($columns == "") ? "" : ", ";
$columns .= $column;
$holders .= ($holders == "") ? "" : ", ";
$holders .= ":$column";
}
$sql = "INSERT INTO $table ($columns) VALUES ($holders)";
return $sql;
}
Získáte tak SQL příkaz ve tvaru:
$sql = INSERT INTO directory (field1, field2) VALUES (:field1, :field2)
a připravte prohlášení:
$stmt = $dbh->prepare($sql);
3. Svázat parametry
Poté můžete dynamicky svázat parametry se zástupnými symboly:
foreach ($data as $placeholder => $value) {
$stmt->bindValue(":$placeholder", $value);
}
a spusťte jej:
$stmt->execute();
Trochu pokročilejší...
- Podívejte se na tento odkaz Vazba na stejný zástupný symbol Informace o tom, jak učinit vaše dynamicky připravené prohlášení robustnější.
- Podívejte se na tento odkaz:Bind Params Inside Loop Pro upozornění ohledně vazebných parametrů vs hodnot ve smyčce.