我有一个帖子的数组:
//this are arrays
$name = $_POST["name"];
$age = $_POST["age"];
$date = $_POST["date"];
我在 PDO 中有一个插入查询:
$stmt = $db->prepare("INSERT INTO staff (name, age, address) VALUES (:name, :age, :address)");
我的问题是如何使用 php 生成/或实现如下所示的查询:
INSERT INTO staff (name, age, address) VALUES
($name[0], $age[0], $address[0]), ($name[1], $age[1], $address[1])... etc
我尽量保持低服务器负载。
准备好的语句是不可能的。
如果要在一个查询中插入可变数量的记录,则必须动态生成 SQL 查询,这样就不可能预先准备。
如果您使用数据库驱动程序的 escape_string
函数(对于 MySQL 来说是 quote()
),那么您可以构建查询并仍然获得准备语句提供的安全性你。
$query = "INSERT INTO table (a, b, c) VALUES";
$tuple = " ('%s', '%s', '%s'),";
foreach ($items as $item) {
$a = $db->quote($item['a']);
$b = $db->quote($item['b']);
$c = $db->quote($item['c']);
$query .= sprintf($tuple, $a, $b, $c);
}
$query = rtrim($query, ","); // Remove trailing comma
// Use the query...
附录:
如果您使用的是准备好的语句,那么您可以单独插入记录,而不必担心一次性插入它们。这实际上就是准备好的语句的全部要点。
与旧的 SQL 查询不同,它是一个一步过程,只是发送然后被遗忘...
$db->query("INSERT INTO table (a, b, c) VALUES ('a', 'b', 'c')");
...准备好的语句是一个两步过程。
首先,您创建准备好的语句。然后将该语句发送到数据库,告诉它“这是你应该期待的”。数据库通常还会优化查询以使其更快。然后,此步骤返回一个语句句柄(在 PHP 文档中通常称为 $stmt
)。
$stmt = $db->prepare('INSERT INTO table (a, b, c) VALUES (:a, :b, :c)');
其次,使用此句柄,您可以继续插入内容:
foreach ($records as $record) {
$stmt->execute(array(
':a' => $record['a'],
':b' => $record['b'],
':c' => $record['c'],
));
}
因为数据库已经知道会发生什么,所以它可以优化 INSERT
的速度,这意味着您不必经历我在本附录上面提到的内容。
维基百科实际上有一个 quite nice writeup准备好的陈述。