我有一个包含大约 25 个输入字段的大表单。
我试图将它们插入到我的表中,而我知道的唯一方法是使用以下...
$count = $dbh->exec("INSERT INTO directory(field1, field2) VALUES (':value1', ':value2')");
因为我有这么多的帖子变量,有没有比在我的查询中输入每个人更好的方法呢?
最佳答案
动态准备好的查询
您可以从 $_POST 数组动态构建查询:
但是,永远不要相信用户输入,这意味着您不能相信 $_POST 中的数据会包含有效的列名。
<强>1。清理帖子数据
您可以定义一个列入白名单的列名数组$whitelist = array('field1', 'field2', ...),然后使用:
$data = array_intersect_key($_POST, array_flip($whitelist));
找到白名单列和 $_POST 数组之间的交集。 (感谢@BillKarwin)
<强>2。构建查询
private function buildInsertSql($data, $table) {
$columns = "";
$holders = "";
foreach ($data as $column => $value) {
$columns .= ($columns == "") ? "" : ", ";
$columns .= $column;
$holders .= ($holders == "") ? "" : ", ";
$holders .= ":$column";
}
$sql = "INSERT INTO $table ($columns) VALUES ($holders)";
return $sql;
}
这将为您提供以下形式的 SQL 语句:
$sql = INSERT INTO directory (field1, field2) VALUES (:field1, :field2)
并准备声明:
$stmt = $dbh->prepare($sql);
<强>3。绑定(bind)参数
然后您可以将参数动态绑定(bind)到占位符:
foreach ($data as $placeholder => $value) {
$stmt->bindValue(":$placeholder", $value);
}
并执行:
$stmt->execute();
更高级一点...
- 查看此链接 Binding to the same placeholder有关如何使动态预准备语句更健壮的信息。
- 查看此链接:Bind Params Inside Loop关于循环中绑定(bind)参数与值的注意事项。
关于php - 使用 PDO 向表中插入大量变量,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13333006/