1. Zuhause
  2. Frage und Antwort
  3. Vorbereitete Anweisungen mit mehreren Werten

Vorbereitete Anweisungen mit mehreren Werten

2016-03-22 5 views
0

Ich bin auf der Suche nach der Sicherheit des Datenbankzugriffs auf einer Website zu verbessern, und der allgemeine Konsens scheint, vorbereitete Aussagen zu verwenden. Ich habe eine Vorstellung davon, wie sie funktionieren, aber ich möchte ihre Verwendung verallgemeinern, so dass die einzigen Dinge, die ich liefern muss, eine Abfrage, die Parametertypen und Werte sind. Dafür habe ich jedoch keine besonders guten Ressourcen gefunden und bin daher irgendwie verloren, wie ich das angehen soll.Vorbereitete Anweisungen mit mehreren Werten

Grundsätzlich was ich will ist wie folgt.

$query = "SELECT * FROM Table WHERE Column1 = ? AND Column2 = ?"; 

$array[0] = "string"; 
$array[1] = 5; 
$parameters = "si"; 

$dbHandler = new mysqli("server", "user", "password", "database"); 

$stmt = $dbHandler->prepare($query); 
$stmt->bind_param($parameters, $array); 
$stmt->execute(); 

//Process results

Ich bin mir bewusst, dass dies nicht die richtige Prozedur ist, aber das ist das Problem. Was kann ich tun, damit dies funktioniert? Die Idee ist, dass sich die Anzahl der Variablen innerhalb von $array ändern kann, ebenso wie die Parameterliste.

Quelle

2016-03-22 user3521737

+0

Es ist mir nicht klar, was Sie erreichen möchten. Sie sagen, die einzigen Dinge, die Sie liefern möchten, sind "eine Abfrage, die Parametertypen und Werte" - genauso funktionieren vorbereitete Anweisungen in allen Fällen überall. – VoteyDisciple

+0

Der Array-Teil ist, was ich nicht weiß. Die Standard-Verwendung von vorbereiteten Anweisungen besteht darin, die Werte wie 'bind_param (" sss ", $ s1, $ s2, $ s3);' aufzulisten, aber ich möchte ein Array anstelle der drei String-Variablen verwenden. – user3521737

+0

Tut mir leid, ich habe verpasst, dass Sie das in 'mysqli' machen - ich dachte, es wäre PDO, das von Anfang an nur mit Arrays funktioniert. (Wenn Sie nur wechseln und die Syntax zählt, "PDO verwenden" kann eine praktikable Option sein hier.) – VoteyDisciple

Antwort

0

Ich muss liefern eine Abfrage, die Parametertypen und Werte.

Hier gehen Sie:

function mysqli_query_params($mysqli, $query, $params, $types = NULL) 
{ 
    $statement = $mysqli->prepare($query); 
    $types = $types ?: str_repeat('s', count($params)); 
    $statement->bind_param($types, ...$params); 
    $statement->execute(); 
    return $statement; 
}

, die genau die Art und Weise verwendet werden können, die Sie beschrieben:

$query = "SELECT * FROM Table WHERE Column1 = ? AND Column2 = ?"; 
$params = ["string", 5]; 
$types = "si"; 
$mysqli = new mysqli("server", "user", "password", "database"); 

$data = mysqli_query_params($mysqli, $query, $params, $types)->get_result()->fetch_all();

Beachten Sie, dass Sie die meiste Zeit vermeiden Typen explizit und lassen Sie sie Erdhügel sein Einstellung als Zeichenfolgen standardmäßig.

Allerdings ist PDO in der Tat viel nützlicher als Raw Mysqli, und Sie verwenden es besser. Sie können es von this tutorial

P.S. erfahren. Sie benötigen PHP> = 5.6 und mysqlnd, damit dieser Code ausgeführt werden kann. Andernfalls wird die Menge an Code verzehnfacht. Das ist ein weiterer Grund, PDO zu verwenden.

Quelle

2016-03-22 16:22:55

+0

Sie müssen PHP 5.6+ verwenden – Nergal

 Verwandte Themen

  • Keine verwandten Themen^_^