Да, bindParam
свързва параметър с име на променлива (справка), а не стойност, както казва ръководството
.
Има обаче по-опростен синтаксис за вашата ситуация. PDOStatement::execute
може да приема масив от стойности.
public function insert($table, $cols, $values){
$placeholder = array();
for ($i = 0; i < count($values); $i++)
$placeholder[] = '?';
$sql = 'INSERT INTO '. $table . ' (`' . implode("`, `", $cols) . '`) ';
$sql.= 'VALUES (' . implode(", ", $placeholder) . ')';
$stmt = $this->dbh->prepare($sql);
$stmt->execute($values);
}