Динамични подготвени заявки
Можете да изградите своята заявка динамично от масива $_POST:
Но НИКОГА не се доверявайте на въвеждането на потребителя, което означава, че не можете да вярвате, че данните в $_POST ще съдържат валидни имена на колони.
1. Дезинфекцирайте данните за публикациите
Можете да дефинирате масив от имена на колони в белия списък $whitelist = array('field1', 'field2', ...)
, и след това използвайте:
$data = array_intersect_key($_POST, array_flip($whitelist));
за да намерите пресечната точка между колоните в белия списък и вашия масив $_POST. (Благодаря @BillKarwin)
2. Изградете заявката
private function buildInsertSql($data, $table) {
$columns = "";
$holders = "";
foreach ($data as $column => $value) {
$columns .= ($columns == "") ? "" : ", ";
$columns .= $column;
$holders .= ($holders == "") ? "" : ", ";
$holders .= ":$column";
}
$sql = "INSERT INTO $table ($columns) VALUES ($holders)";
return $sql;
}
Това ще ви даде SQL изявление във формата:
$sql = INSERT INTO directory (field1, field2) VALUES (:field1, :field2)
и подгответе изявлението:
$stmt = $dbh->prepare($sql);
3. Параметри на свързванета
След това можете динамично да свържете параметри към заместителите:
foreach ($data as $placeholder => $value) {
$stmt->bindValue(":$placeholder", $value);
}
и го изпълнете:
$stmt->execute();
Малко по-напреднал...
- Разгледайте тази връзка Обвързване към един и същ заместител За информация как да направите динамичното си подготвено изявление по-стабилно.
- Разгледайте тази връзка:Вътрешен цикъл на свързване на параметри За предупреждение относно параметрите на свързване спрямо стойностите в цикъл.