Функция PDO MySql для приема нескольких параметров

Question

Функция PDO MySql для приема нескольких параметров

0

У меня есть функция PDO, которая выполняет запрос Mysql.

public function run($sql, array $params = NULL) {

  $statement = $this->pdo->prepare($sql);

  if (!is_null($params)) {

    foreach ($params as $key) {

      $statement->bindParam(":n", $key);

    }

  }

  $statement->execute();

  return $statement->fetchAll(PDO::FETCH_CLASS);

}

Это работает только с отдельными параметрами (см. Мой предыдущий вопрос)

Поэтому я пробовал модифицировать foreach в функции

foreach ($params as $key => $value) {

  $statement->bindParam($key, $value);

}

Я запускаю запрос как

$variation = $query->run(
  "SELECT url, title, sale_price
  FROM product
  where category_id = :category
  and url != :url",
  [ ":category" => $data[0]->category_id, ":url" => $filePathArray[1] ]
);

Он возвращает пустой набор.

Benny Thadikaran 12 янв. 2018, в 12:27

Источник

1

Зачем вам это делать, когда вы можете просто передать массив параметров в $statement->execute() ?
rlanvin 12 янв. 2018, в 11:00
0

@rlanvin с помощью bindParam() вы можете указать тип (int, string) и т. д., который является третьим параметром.
Akintunde-Rotimi 12 янв. 2018, в 11:01
0

@Akintunde007 Akintunde007 он здесь не используется ...
rlanvin 12 янв. 2018, в 11:04
0

@rlanvin да я вижу, что. Я просто предоставлял информацию;)
Akintunde-Rotimi 12 янв. 2018, в 11:05
0

Я читал в другом месте bindparam предотвращает инъекции SQL. Это то же самое с execute ()? Это единственная причина для меня, чтобы использовать bindparam. Нужно ли указывать тип?
Benny Thadikaran 12 янв. 2018, в 11:12
0

@rlanvin ваш ответ работает. Это лучше, потому что я могу избавиться от оператора foreach. Я думаю, что это также должно предотвратить внедрение, так как передача дополнительных значений в массиве приведет к сбою оператора.
Benny Thadikaran 12 янв. 2018, в 11:32
0

@rlanvin Вы можете пойти дальше и ответить на него. Я выберу это как лучший ответ
Benny Thadikaran 12 янв. 2018, в 11:38
0

Готово! Рад, что смог помочь.
rlanvin 12 янв. 2018, в 11:41

Показать ещё 6 комментариев

Теги:

php

mysql

pdo

1 ответ

Ещё вопросы

Зачем вам это делать, когда вы можете просто передать массив параметров в $statement->execute() ?
@rlanvin с помощью bindParam() вы можете указать тип (int, string) и т. д., который является третьим параметром.
@Akintunde007 Akintunde007 он здесь не используется ...
@rlanvin да я вижу, что. Я просто предоставлял информацию;)
Я читал в другом месте bindparam предотвращает инъекции SQL. Это то же самое с execute ()? Это единственная причина для меня, чтобы использовать bindparam. Нужно ли указывать тип?
@rlanvin ваш ответ работает. Это лучше, потому что я могу избавиться от оператора foreach. Я думаю, что это также должно предотвратить внедрение, так как передача дополнительных значений в массиве приведет к сбою оператора.
@rlanvin Вы можете пойти дальше и ответить на него. Я выберу это как лучший ответ

rlanvin · Accepted Answer · 2018-01-12T10-16-00.000Z

Эта функция не требуется. Вы можете передать массив параметров непосредственно в $statement->execute() как описано в документации для PDOStatement :: execute().

Это так же безопасно, как и с помощью bindParam(), он одинаково защищает от SQL-инъекции.

Единственный недостаток заключается в том, что вы не можете указать тип каждого параметра, но в большинстве случаев это не обязательно, и в этом примере вы его не использовали, так что вы ничего не потеряете.