Могу ли я связать массив с условием IN ()?

Question

Могу ли я связать массив с условием IN ()?

489

Мне любопытно узнать, возможно ли связать массив значений с заполнителем, использующим PDO. Здесь используется попытка передать массив значений для использования с условием IN().

Я хотел бы сделать что-то вроде этого:

<?php
$ids=array(1,2,3,7,8,9);
$db = new PDO(...);
$stmt = $db->prepare(
    'SELECT *
     FROM table
     WHERE id IN(:an_array)'
);
$stmt->bindParam('an_array',$ids);
$stmt->execute();
?>

И PDO связывает и цитирует все значения в массиве.

На данный момент я делаю:

<?php
$ids = array(1,2,3,7,8,9);
$db = new PDO(...);
foreach($ids as &$val)
    $val=$db->quote($val); //iterate through array and quote
$in = implode(',',$ids); //create comma separated list
$stmt = $db->prepare(
    'SELECT *
     FROM table
     WHERE id IN('.$in.')'
);
$stmt->execute();
?>

Что, безусловно, делает эту работу, но просто интересно, есть ли встроенное решение, которое мне не хватает?

Andru 28 май 2009, в 12:10

Источник

2

Полное руководство по привязке массива к условию IN () , включая случай, когда в запросе есть другие заполнители
Your Common Sense 18 апр. 2017, в 14:10

Теги:

php

arrays

prepared-statement

pdo

where-in

21 ответ

Ещё вопросы

Полное руководство по привязке массива к условию IN () , включая случай, когда в запросе есть другие заполнители

stefs · Answer 1 · 2009-05-28T12-29-00.000Z

230

Я думаю, что soulmerge прав. вам придется построить строку запроса.

<?php
$ids     = array(1, 2, 3, 7, 8, 9);
$inQuery = implode(',', array_fill(0, count($ids), '?'));

$db = new PDO(...);
$stmt = $db->prepare(
    'SELECT *
     FROM table
     WHERE id IN(' . $inQuery . ')'
);

// bindvalue is 1-indexed, so $k+1
foreach ($ids as $k => $id)
    $stmt->bindValue(($k+1), $id);

$stmt->execute();
?>

исправить: дан, вы были правы. исправил код (не тестировал его, хотя)

edit: оба chris (комментарии) и somebodyisintrouble предположили, что foreach-loop...

(...)
// bindvalue is 1-indexed, so $k+1
foreach ($ids as $k => $id)
    $stmt->bindValue(($k+1), $id);

$stmt->execute();

... может быть избыточным, поэтому цикл foreach и $stmt->execute можно заменить просто...

<?php 
  (...)
  $stmt->execute($ids);
?>

(опять же, я не тестировал его)

stefs 28 май 2009, в 12:29

7

Это интересное решение, и хотя я предпочитаю его перебирать идентификаторы и вызывать PDO :: quote (), я думаю, что индекс '?' Заполнители будут испорчены, если какие-либо другие заполнители встречаются сначала в другом месте запроса, верно?
Andru 28 май 2009, в 12:49
5

да, это было бы проблемой. но в этом случае вы можете создать именованные параметры вместо?
stefs 28 май 2009, в 13:31
0

Во второй строке этого кода есть несоответствие ")". ) После 1 должен быть в конце. Спасибо, хотя - очень полезно! :-)
Dan 30 июль 2010, в 09:46
9

Старый вопрос, но я считаю, что стоит отметить, что $foreach и bindValue() не требуются - просто bindValue() с массивом. Например: $stmt->execute($ids);
Chris 30 май 2012, в 03:47
0

Вы также можете проверить, что идентификаторы в массиве имеют правильный тип, если они получены из параметра запроса. Используя что-то вроде is_numeric($id) в foreach.
Mortimer 08 июнь 2012, в 15:18
1

Генерация заполнителей должна выполняться следующим образом: str_repeat('?,', count($array) - 1). '?';
Xeoncross 24 нояб. 2012, в 20:13
0

+1, но в качестве предложения: $stmt->execute(array_values($ids)) потому что если вы использовали позиционные параметры, но $ids - это ассоциативный массив, он сломается.
Bill Karwin 08 июль 2014, в 23:16
7

Просто совет для тех, кто не знает, вы не можете смешивать именованные и безымянные параметры. Поэтому, если вы используете именованные параметры в своем запросе, переключите их на?, А затем увеличьте смещение индекса bindValue, чтобы оно соответствовало положению IN? Где бы они ни были относительно других? Титулы.
justinl 22 окт. 2014, в 01:25
0

Одной из проблем использования IN таким способом является то, что вы должны знать, сколько значений существует при подготовке запроса. Это означает, что вы должны подготовить другой оператор каждый раз, когда изменяется число значений массива.
fyrye 18 фев. 2015, в 17:03
0

@fyrye: это правда, но, честно говоря, мне редко приходится повторно использовать подготовленные операторы во время цикла генерации одной страницы - я в основном использую их по соображениям безопасности, а не обязательно из-за производительности (я не уверен, что операторы подготовки имеют значение вне давно работающих приложений). Вы всегда можете использовать массив для их кэширования.
stefs 20 фев. 2015, в 11:36
0

@stefs Я также использую его таким образом, предоставляя комментарий как предупреждение тем, кто ожидает, что он сработает, когда они изменяют количество значений. Например, в сложных объектных моделях. Я также рекомендую ваше предложение о сохранении операторов в массиве в качестве обходного пути к проблеме.
fyrye 20 фев. 2015, в 22:24
0

Если мне нужно вставить две разные строки, разделенные запятыми, в две разные IN IN в SQL, как мне тогда это сделать?
Reality-Torrent 05 фев. 2016, в 14:44
0

У меня была переменная $varID = '1, 2, 3, 4'; но это не сработало, когда я установил $ids = array($varID); Вместо этого я использовал $ids = explode(',', $varID); и это сработало. Спасибо за помощь.
cyclone200 15 май 2016, в 22:08
0

Что делать, если у меня есть два в пунктах?
Eslam Sameh Ahmed 30 июль 2016, в 03:35
0

@EslamSamehAhmed применяется тот же принцип. построить как inQueries и массива-добавить идентификаторы.
stefs 01 авг. 2016, в 11:10

Показать ещё 13 комментариев

Donamite · Answer 2 · 2012-05-23T16-50-00.000Z

164

Для чего-то быстрого:

//$db = new PDO(...);
//$ids = array(...);

$qMarks = str_repeat('?,', count($ids) - 1) . '?';
$sth = $db->prepare("SELECT * FROM myTable WHERE id IN ($qMarks)");
$sth->execute($ids);

Donamite 23 май 2012, в 16:50

7

Отлично, я не думал использовать аргумент input_parameters таким образом. Для тех, чьи запросы имеют больше параметров, чем список IN, вы можете использовать array_unshift и array_push, чтобы добавить необходимые аргументы в начало и конец массива. Также я предпочитаю $input_list = substr(str_repeat(',?', count($ids)), 1);
orca 31 май 2012, в 02:34
7

Вы также можете попробовать str_repeat('?,', count($ids) - 1) . '?' , На один вызов меньше.
orca 01 июнь 2012, в 23:30
3

Я использовал это с array_diff, чтобы получить массив, который я хотел удалить, и он выдал мне ошибку, потому что у 1-го элемента массива не было значения индекса 0, поэтому мне пришлось array_values использовать array_values для того, чтобы сбросить ключи.
techouse 11 сен. 2012, в 11:38
2

Не показывать уверенность в безопасности этого. Это будет работать, но отчасти побеждает цель подготовленных заявлений и выглядит уязвимым для инъекций, для меня.
erfling 29 нояб. 2015, в 21:17
5

@erfling, это готовое утверждение, откуда придет инъекция? Я буду более чем рад внести какие-либо исправления, если вы сможете подтвердить это некоторыми фактическими доказательствами этого.
DonVaughn 30 нояб. 2015, в 18:06
2

Подготовка заявления не предотвращает инъекцию. Вы должны связать параметры. Если один из индексов $ ids, где DROP table users;, он вполне может быть выполнен. Ответ с наибольшим количеством голосов предотвращает это путем зацикливания и связывания.
erfling 30 нояб. 2015, в 22:43
5

@erfling, да, это правильно, и привязка параметров - это именно то, что мы делаем в этом примере, отправляя execute массив идентификаторов
DonVaughn 01 дек. 2015, в 18:18
5

О, действительно. Как-то пропустил тот факт, что вы передавали массив. Это действительно кажется безопасным и хорошим ответом. Мои извенения.
erfling 01 дек. 2015, в 23:28
0

Даааа, сработало 4 меня !! Спасибо
vinidog 31 май 2016, в 23:46
1

Зачем count ($variables) - 1) . '?'; Почему бы просто не count($variable)
Robert Rocha 08 июнь 2016, в 21:44
1

@RobertRocha, потому что он добавляет '?' в конце (без запятой). Без -1 это было бы что-то вроде ... IN (?,?,?,?,?,) Что синтаксически неверно
kit 03 нояб. 2016, в 20:04
0

Как насчет нескольких утверждений WHERE ? Например, "SELECT * FROM myTable WHERE name = ? AND id IN ($qMarks)" ? execute(array($name, $ids)) , похоже, не работает вообще ....
Alex G 12 июнь 2017, в 02:02
0

это идет вразрез с надуманной «безопасной струной» и инъекцией ...
Miguel 10 июль 2017, в 11:04
2

@ Мигель, это не правильно, это то, что называется использованием подготовленных операторов для обеспечения безопасности типов и предотвращения внедрения SQL. Узнайте, как PDOStatement::execute работает здесь, в документации по PHP
DonVaughn 10 июль 2017, в 11:10

Показать ещё 12 комментариев

Dmitry Tonkonogov · Answer 3 · 2013-10-03T00-04-00.000Z

Насколько важно использовать инструкцию IN? Попробуйте использовать FIND_IN_SET op.

Например, в PDO есть запрос вроде

SELECT * FROM table WHERE FIND_IN_SET(id, :array)

Тогда вам нужно всего лишь привязать массив значений, взорванных запятой, как этот

$ids_string = implode(',', $array_of_smth); // WITHOUT WHITESPACES BEFORE AND AFTER THE COMMA
$stmt->bindParam('array', $ids_string);

и это сделано.

UPD: Как указывали некоторые люди в комментариях к этому ответу, есть некоторые проблемы, которые следует изложить всерьез.

FIND_IN_SET не использует индекс в таблице, и он еще не реализован - см. эту запись в отслеживателе ошибок MYSQL. Спасибо @BillKarwin за уведомление.
Вы не можете использовать строку с запятой внутри как значение массива для поиска. Невозможно правильно проанализировать такую строку после implode, поскольку вы используете символ запятой в качестве разделителя. Благодаря @VaL для заметки.

В порядке, если вы не сильно зависите от индексов и не используете строки с запятой для поиска, мое решение будет намного проще, проще и быстрее, чем решения, перечисленные выше.

IN () может использовать индекс и считается как сканирование диапазона. FIND_IN_SET () не может использовать индекс.
Это точка. Я этого не знал. Но в любом случае нет никаких требований к производительности в этом вопросе. Для не очень больших таблиц это намного лучше и чище, чем отдельный класс для генерации запроса с разным количеством заполнителей.
Да, но у кого сегодня не такой большой стол? ;-)
Еще одна проблема с этим подходом, что, если внутри будет строка с запятой? Например ... FIND_IN_SET(description,'simple,search') будет работать, но FIND_IN_SET(description,'first value,text, with coma inside') завершится ошибкой. Таким образом, функция будет искать "first value", "text", "with coma inside" вместо желаемого "first value", "text, with coma inside"

prograhammer · Answer 4 · 2014-03-26T15-20-00.000Z

Так как я делаю много динамических запросов, это супер простая вспомогательная функция, которую я сделал.

public static function bindParamArray($prefix, $values, &$bindArray)
{
    $str = "";
    foreach($values as $index => $value){
        $str .= ":".$prefix.$index.",";
        $bindArray[$prefix.$index] = $value;
    }
    return rtrim($str,",");     
}

Используйте его следующим образом:

$bindString = helper::bindParamArray("id", $_GET['ids'], $bindArray);
$userConditions .= " AND users.id IN($bindString)";

Возвращает строку :id1,:id2,:id3, а также обновляет ваши привязки $bindArray, которые вам понадобятся при запуске вашего запроса. Легко!

Это гораздо лучшее решение, так как оно не нарушает правила привязки параметров. Это намного безопаснее, чем встроенный SQL, как предлагают некоторые другие здесь.

Sergey Galkin · Answer 5 · 2010-08-18T08-39-00.000Z

Решение от EvilRygy не сработало для меня. В Postgres вы можете сделать другое обходное решение:


$ids = array(1,2,3,7,8,9);
$db = new PDO(...);
$stmt = $db->prepare(
    'SELECT *
     FROM table
     WHERE id = ANY (string_to_array(:an_array, ','))'
);
$stmt->bindParam(':an_array', implode(',', $ids));
$stmt->execute();

Это не работает: ERROR: operator does not exist: integer = text . По крайней мере, вам нужно добавить явное приведение.

ESCOBAR · Answer 6 · 2014-04-15T13-19-00.000Z

очень чистый способ для postgres использует массив postgres ( "{}" ):

$ids = array(1,4,7,9,45);
$param = "{".implode(', ',$ids)."}";
$cmd = $db->prepare("SELECT * FROM table WHERE id = ANY (?)");
$result = $cmd->execute(array($param));

ДА, PDO! через 4 года. Ваш ответ был для меня хорошим, очень простым и эффективным. благодарю вас!!!

Chris · Answer 7 · 2012-02-18T22-45-00.000Z

Я расширил PDO, чтобы сделать что-то похожее на то, что предлагает stefs, и мне было легче в конечном итоге:

class Array_Capable_PDO extends PDO {
    /**
     * Both prepare a statement and bind array values to it
     * @param string $statement mysql query with colon-prefixed tokens
     * @param array $arrays associatve array with string tokens as keys and integer-indexed data arrays as values 
     * @param array $driver_options see php documention
     * @return PDOStatement with given array values already bound 
     */
    public function prepare_with_arrays($statement, array $arrays, $driver_options = array()) {

        $replace_strings = array();
        $x = 0;
        foreach($arrays as $token => $data) {
            // just for testing...
            //// tokens should be legit
            //assert('is_string($token)');
            //assert('$token !== ""');
            //// a given token shouldn't appear more than once in the query
            //assert('substr_count($statement, $token) === 1');
            //// there should be an array of values for each token
            //assert('is_array($data)');
            //// empty data arrays aren't okay, they're a SQL syntax error
            //assert('count($data) > 0');

            // replace array tokens with a list of value tokens
            $replace_string_pieces = array();
            foreach($data as $y => $value) {
                //// the data arrays have to be integer-indexed
                //assert('is_int($y)');
                $replace_string_pieces[] = ":{$x}_{$y}";
            }
            $replace_strings[] = '('.implode(', ', $replace_string_pieces).')';
            $x++;
        }
        $statement = str_replace(array_keys($arrays), $replace_strings, $statement);
        $prepared_statement = $this->prepare($statement, $driver_options);

        // bind values to the value tokens
        $x = 0;
        foreach($arrays as $token => $data) {
            foreach($data as $y => $value) {
                $prepared_statement->bindValue(":{$x}_{$y}", $value);
            }
            $x++;
        }

        return $prepared_statement;
    }
}

Вы можете использовать его следующим образом:

$db_link = new Array_Capable_PDO($dsn, $username, $password);

$query = '
    SELECT     *
    FROM       test
    WHERE      field1 IN :array1
     OR        field2 IN :array2
     OR        field3 = :value
';

$pdo_query = $db_link->prepare_with_arrays(
    $query,
    array(
        ':array1' => array(1,2,3),
        ':array2' => array(7,8,9)
    )
);

$pdo_query->bindValue(':value', '10');

$pdo_query->execute();

почему бы не удалить аргумент и сделать $db_link->prepare_with_arrays(array('array1'=>array(1,2,3),'array2'=>array(7,8,9))) ? все еще небезопасно, если ваш :array находится внутри строки SQL (его не следует заменять).
Да, это звучит лучше, уменьшает вероятность того, что ваши токены и массивы данных не выстроятся в линию. Я, вероятно, перепишу это в ближайшее время, потому что он получает некоторое уведомление.
Я рассмотрел первую часть комментария Марка, но, как он указал, все еще небезопасно, если в запросе указан токен типа :array .
Примечание для всех будущих читателей: это решение никогда не должно использоваться. Утверждения не предназначены для производственного кода
YCS: спасибо за отзыв, заинтересованный в вашем мнении о подходе вне пригодности утверждений.
Идея почти такая же, но только без утверждений, более простой и понятный способ - не как исключение только для одного случая, а как общий способ построения каждого запроса. Каждый заполнитель отмечен своим типом. Это делает догадки (например, if (is_array($data)) one) ненужными, но делает обработку данных более точной.
Для тех, кто читает комментарии: проблема, упомянутая @Your Здравый смысл, была исправлена в редакции 4 .

Progrock · Answer 8 · 2015-01-21T13-16-00.000Z

Вот мое решение:

$total_items = count($array_of_items);
$question_marks = array_fill(0, $total_items, '?');
$sql = 'SELECT * FROM foo WHERE bar IN (' . implode(',', $question_marks ). ')';

$stmt = $dbh->prepare($sql);
$stmt->execute(array_values($array_of_items));

Обратите внимание на использование array_values. Это может устранить проблемы с упорядочением ключей.

Я собирал массивы идентификаторов, а затем удалял повторяющиеся элементы. У меня было что-то вроде:

$ids = array(0 => 23, 1 => 47, 3 => 17);

И это не получилось.

Daniel Miloca - Brazil · Answer 9 · 2015-03-18T21-00-00.000Z

Если у вас есть другой параметр, вы можете сделать следующее:

$ids = array(1,2,3,7,8,9);
$db = new PDO(...);
$query = 'SELECT *
            FROM table
           WHERE X = :x
             AND id IN(';
$comma = '';
for($i=0; $i<count($ids); $i++){
  $query .= $comma.':p'.$i;       // :p0, :p1, ...
  $comma = ',';
}
$query .= ')';

$stmt = $db->prepare($query);
$stmt->bindValue(':x', 123);  // some value
for($i=0; $i<count($ids); $i++){
  $stmt->bindValue(':p'.$i, $ids[$i]);
}
$stmt->execute();

Спасибо за отличный ответ. Это было единственное, что действительно помогло мне. Однако я увидел 1 ошибку. Переменная $ rs должна быть $ stmt

Phil Carter · Answer 10 · 2009-05-28T12-56-00.000Z

Глядя на PDO: Предопределенные константы нет PDO:: PARAM_ARRAY, который вам нужен, как указано на PDOStatement- > bindParam

bool PDOStatement:: bindParam (смешанный параметр $, mixed & $variable [, int $data_type [, int $length [, mixed $driver_options]]])

Поэтому я не думаю, что это возможно.

Я не знаю, работает ли это. Я предполагаю, что взорванная строка заключена в кавычки.
Вы правы, кавычки экранированы, так что не сработает. Я удалил этот код.

Sammaye · Answer 11 · 2012-07-12T15-10-00.000Z

Я также понимаю, что этот поток старый, но у меня была уникальная проблема, когда при преобразовании скоро устаревшего драйвера mysql в драйвер PDO мне приходилось создавать функцию, которая могла бы динамически строить как обычные параметры, так и INs из того же массива параметров. Поэтому я быстро построил это:

/**
 * mysql::pdo_query('SELECT * FROM TBL_WHOOP WHERE type_of_whoop IN :param AND siz_of_whoop = :size', array(':param' => array(1,2,3), ':size' => 3))
 *
 * @param $query
 * @param $params
 */
function pdo_query($query, $params = array()){

    if(!$query)
        trigger_error('Could not query nothing');

    // Lets get our IN fields first
    $in_fields = array();
    foreach($params as $field => $value){
        if(is_array($value)){
            for($i=0,$size=sizeof($value);$i<$size;$i++)
                $in_array[] = $field.$i;

            $query = str_replace($field, "(".implode(',', $in_array).")", $query); // Lets replace the position in the query string with the full version
            $in_fields[$field] = $value; // Lets add this field to an array for use later
            unset($params[$field]); // Lets unset so we don't bind the param later down the line
        }
    }

    $query_obj = $this->pdo_link->prepare($query);
    $query_obj->setFetchMode(PDO::FETCH_ASSOC);

    // Now lets bind normal params.
    foreach($params as $field => $value) $query_obj->bindValue($field, $value);

    // Now lets bind the IN params
    foreach($in_fields as $field => $value){
        for($i=0,$size=sizeof($value);$i<$size;$i++)
            $query_obj->bindValue($field.$i, $value[$i]); // Both the named param index and this index are based off the array index which has not changed...hopefully
    }

    $query_obj->execute();

    if($query_obj->rowCount() <= 0)
        return null;

    return $query_obj;
}

Он все еще непроверен, но логика, кажется, там.

Надеюсь, это поможет кому-то в том же положении,

Изменить: после некоторого тестирования я узнал:

PDO не нравится '.' в их именах (что-то глупо, если вы спросите меня)
bindParam - это неправильная функция, функция bindValue - это правильная функция.

Код, отредактированный для рабочей версии.

Aaron Angelo Vicuna · Answer 12 · 2010-02-18T16-32-00.000Z

Небольшое редактирование кода Schnalle

<?php
$ids     = array(1, 2, 3, 7, 8, 9);
$inQuery = implode(',', array_fill(0, count($ids)-1, '?'));

$db   = new PDO(...);
$stmt = $db->prepare(
    'SELECT *
     FROM table
     WHERE id IN(' . $inQuery . ')'
);

foreach ($ids as $k => $id)
    $stmt->bindValue(($k+1), $id);

$stmt->execute();
?>

//implode(',', array_fill(0, count($ids)-1), '?')); 
//'?' this should be inside the array_fill
//$stmt->bindValue(($k+1), $in); 
// instead of $in, it should be $id

Я должен был удалить -1 после count ($ ids), чтобы он работал для меня, иначе всегда будет отсутствовать один заполнитель.

EvilRyry · Answer 13 · 2009-05-28T12-36-00.000Z

Какую базу данных вы используете? В PostgreSQL мне нравится использовать ANY (массив). Поэтому для повторного использования вашего примера:

<?php
$ids=array(1,2,3,7,8,9);
$db = new PDO(...);
$stmt = $db->prepare(
    'SELECT *
     FROM table
     WHERE id = ANY (:an_array)'
);
$stmt->bindParam('an_array',$ids);
$stmt->execute();
?>

К сожалению, это довольно не переносимо.

В других базах данных вам нужно будет создать свою собственную магию, о которой говорили другие. Вы захотите включить эту логику в класс/функцию, чтобы сделать ее повторно используемой во всей программе, конечно. Взгляните на комментарии на странице mysql_query на PHP.NET для получения дополнительных соображений по этому вопросу и примеров этого сценария.

RousseauAlexandre · Answer 14 · 2017-09-13T17-29-00.000Z

Для меня более сексуальное решение - построить динамический ассоциативный массив и использовать его

// a dirty array sent by user
$dirtyArray = ['Cecile', 'Gilles', 'Andre', 'Claude'];

// we construct an associative array like this
// [ ':name_0' => 'Cecile', ... , ':name_3' => 'Claude' ]
$params = array_combine(
    array_map(
        // construct param name according to array index
        function ($v) {return ":name_{$v}";},
        // get values of users
        array_keys($dirtyArray)
    ),
    $dirtyArray
);

// construct the query like `.. WHERE name IN ( :name_1, .. , :name_3 )`
$query = "SELECT * FROM user WHERE name IN( " . implode(",", array_keys($params)) . " )";
// here we go
$stmt  = $db->prepare($query);
$stmt->execute($params);

Oleg Matei · Answer 15 · 2014-06-20T08-44-00.000Z

Как я знаю, нет никакой возможности привязать массив к инструкции PDO.

Но существует 2 общих решения:

Используйте Placeal Placeholders (?,?,?,?) или Named Placeholders (: id1,: id2,: id3)

$whereIn = implode (',', array_fill (0, count ($ ids), '?'));
Ранг цитирования

$whereIn = array_map (массив ($ db, 'quote'), $ids);

Оба варианта хороши и безопасны. Я предпочитаю второй, потому что он короче, и я могу var_dump параметры, если мне это нужно. Используя заполнители, вы должны привязать значения, и в конце ваш код SQL будет таким же.

$sql = "SELECT * FROM table WHERE id IN ($whereIn)";

И последнее и важное для меня исключение ошибки "число связанных переменных не совпадает с числом токенов"

Доктрина - отличный пример использования позиционных заполнителей, только потому, что он имеет внутренний контроль над входящими параметрами.

alan_mm · Answer 16 · 2013-04-04T20-43-00.000Z

Пройдя ту же проблему, я пошел к более простому решению (хотя все еще не такой элегантный, как PDO::PARAM_ARRAY):

для массива $ids = array(2, 4, 32):

$newparams = array();
foreach ($ids as $n => $val){ $newparams[] = ":id_$n"; }

try {
    $stmt = $conn->prepare("DELETE FROM $table WHERE ($table.id IN (" . implode(", ",$newparams). "))");
    foreach ($ids as $n => $val){
        $stmt->bindParam(":id_$n", intval($val), PDO::PARAM_INT);
    }
    $stmt->execute();

... и т.д.

Итак, если вы используете массив смешанных значений, вам потребуется больше кода для проверки ваших значений перед назначением типа param:

// inside second foreach..

$valuevar = (is_float($val) ? floatval($val) : is_int($val) ? intval($val) :  is_string($val) ? strval($val) : $val );
$stmt->bindParam(":id_$n", $valuevar, (is_int($val) ? PDO::PARAM_INT :  is_string($val) ? PDO::PARAM_STR : NULL ));

Но я не тестировал этот.

Kodos Johnson · Answer 17 · 2017-03-14T01-20-00.000Z

Если столбец может содержать только целые числа, возможно, вы можете сделать это без заполнителей и просто поместить идентификаторы в запрос напрямую. Вам просто нужно передать все значения массива целым числам. Вот так:

$listOfIds = implode(',',array_map('intval', $ids));
$stmt = $db->prepare(
    "SELECT *
     FROM table
     WHERE id IN($listOfIds)"
);
$stmt->execute();

Это не должно быть уязвимым для любой SQL-инъекции.

Lippai Zoltan · Answer 18 · 2013-05-30T14-46-00.000Z

вот мое решение. Я также расширил класс PDO:

class Db extends PDO
{

    /**
     * SELECT ... WHERE fieldName IN (:paramName) workaround
     *
     * @param array  $array
     * @param string $prefix
     *
     * @return string
     */
    public function CreateArrayBindParamNames(array $array, $prefix = 'id_')
    {
        $newparams = [];
        foreach ($array as $n => $val)
        {
            $newparams[] = ":".$prefix.$n;
        }
        return implode(", ", $newparams);
    }

    /**
     * Bind every array element to the proper named parameter
     *
     * @param PDOStatement $stmt
     * @param array        $array
     * @param string       $prefix
     */
    public function BindArrayParam(PDOStatement &$stmt, array $array, $prefix = 'id_')
    {
        foreach($array as $n => $val)
        {
            $val = intval($val);
            $stmt -> bindParam(":".$prefix.$n, $val, PDO::PARAM_INT);
        }
    }
}

Ниже приведен пример использования приведенного выше кода:

$idList = [1, 2, 3, 4];
$stmt = $this -> db -> prepare("
  SELECT
    `Name`
  FROM
    `User`
  WHERE
    (`ID` IN (".$this -> db -> CreateArrayBindParamNames($idList)."))");
$this -> db -> BindArrayParam($stmt, $idList);
$stmt -> execute();
foreach($stmt as $row)
{
    echo $row['Name'];
}

Дайте мне знать, что вы думаете

Забыл упомянуть, что это основано на ответе пользователя 2188977, ниже.
Я не уверен, что такое getOne (), он не является частью PDO. Я видел это только в PEAR. Что именно это делает?
@YourCommonSense вы можете опубликовать свою пользовательскую функцию в качестве ответа?
Я бы предложил передать тип данных в BindArrayParam в ассоциативном массиве, так как вы, похоже, ограничиваете его целыми числами.

Pedro Amaral Couto · Answer 19 · 2018-03-22T14-42-00.000Z

Невозможно использовать такой массив в PDO.

Вам нужно построить строку с параметром (или использовать?) Для каждого значения, например:

:an_array_0, :an_array_1, :an_array_2, :an_array_3, :an_array_4, :an_array_5

Вот пример:

<?php
$ids = array(1,2,3,7,8,9);
$sqlAnArray = join(
    ', ',
    array_map(
        function($index) {
            return ":an_array_$index";
        },
        array_keys($ids)
    )
);
$db = new PDO(
    'mysql:dbname=mydb;host=localhost',
    'user',
    'passwd'
);
$stmt = $db->prepare(
    'SELECT *
     FROM table
     WHERE id IN('.$sqlAnArray.')'
);
foreach ($ids as $index => $id) {
    $stmt->bindValue("an_array_$index", $id);
}

Если вы хотите продолжать использовать bindParam, вы можете сделать это вместо этого:

foreach ($ids as $index => $id) {
    $stmt->bindParam("an_array_$index", $ids[$id]);
}

Если вы хотите использовать ? заполнители, вы можете сделать это следующим образом:

<?php
$ids = array(1,2,3,7,8,9);
$sqlAnArray = '?' . str_repeat(', ?', count($ids)-1);
$db = new PDO(
    'mysql:dbname=dbname;host=localhost',
    'user',
    'passwd'
);
$stmt = $db->prepare(
    'SELECT *
     FROM phone_number_lookup
     WHERE country_code IN('.$sqlAnArray.')'
);
$stmt->execute($ids);

Если вы не знаете, пуст ли $ids, вы должны проверить его и обработать этот случай соответственно (вернуть пустой массив или вернуть нулевой объект или выбросить исключение...).

Ali Chegini · Answer 20 · 2017-08-24T07-48-00.000Z

вы сначала установили число "?" в запросе, а затем параметрами отправки "для" например:

require 'dbConnect.php';
$db=new dbConnect();
$array=[];
array_push($array,'value1');
array_push($array,'value2');
$query="SELECT * FROM sites WHERE kind IN (";

foreach ($array as $field){
    $query.="?,";
}
$query=substr($query,0,strlen($query)-1);
$query.=")";
$tbl=$db->connection->prepare($query);
for($i=1;$i<=count($array);$i++)
    $tbl->bindParam($i,$array[$i-1],PDO::PARAM_STR);
$tbl->execute();
$row=$tbl->fetchAll(PDO::FETCH_OBJ);
var_dump($row);

Joseph_J · Answer 21 · 2014-06-26T12-07-00.000Z

Я взял его немного дальше, чтобы получить ответ ближе к исходному вопросу об использовании заполнителей для привязки параметров.

Этот ответ должен будет сделать два цикла через массив, который будет использоваться в запросе. Но он решает проблему наличия других заполнителей столбцов для более выборочных запросов.

//builds placeholders to insert in IN()
foreach($array as $key=>$value) {
    $in_query = $in_query . ' :val_' . $key . ', ';
}

//gets rid of trailing comma and space
$in_query = substr($in_query, 0, -2);

$stmt = $db->prepare(
    "SELECT *
     WHERE id IN($in_query)";

//pind params for your placeholders.
foreach ($array as $key=>$value) {
    $stmt->bindParam(":val_" . $key, $array[$key])
}

$stmt->execute();