我试图将它们插入我的表中,这是我知道如何使用以下内容的唯一方法…
$count = $dbh->exec("INSERT INTO directory(field1, field2) VALUES (':value1', ':value2')");
由于我有这么多的帖子变量,有没有比将每个人和每个人都输入我的查询更好的方法呢?
解决方法:
动态准备的查询
您可以从$_POST数组动态构建查询:
但是,永远不要信任用户输入,这意味着你不能相信$_POST中的数据将包含有效的列名.
1.清理帖子数据
您可以定义白名单列名称数组$whitelist = array(‘field1′,’field2’,…),然后使用:
$data = array_intersect_key($_POST, array_flip($whitelist));
找到列入白名单的列和$_POST数组之间的交集. (谢谢@BillKarwin)
2.构建查询
private function buildInsertsql($data, $table) {
$columns = "";
$holders = "";
foreach ($data as $column => $value) {
$columns .= ($columns == "") ? "" : ", ";
$columns .= $column;
$holders .= ($holders == "") ? "" : ", ";
$holders .= ":$column";
}
$sql = "INSERT INTO $table ($columns) VALUES ($holders)";
return $sql;
}
这将为您提供表单的sql语句:
$sql = INSERT INTO directory (field1, field2) VALUES (:field1, :field2)
并准备声明:
$stmt = $dbh->prepare($sql);
3.绑定参数
然后,您可以将参数动态绑定到占位符:
foreach ($data as $placeholder => $value) {
$stmt->bindValue(":$placeholder", $value);
}
并执行它:
$stmt->execute();
更先进……
>查看此链接Binding to the same placeholder有关如何使动态预处理语句更加健壮的信息.
>看一下这个链接:Bind Params Inside Loop关于绑定参数与循环中的值的警告.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
