Dynamisch vorbereitete Abfragen
Sie können Ihre Abfrage dynamisch aus dem $_POST-Array erstellen:
Vertrauen Sie jedoch NIEMALS Benutzereingaben, was bedeutet, dass Sie nicht darauf vertrauen können, dass Daten in $_POST gültige Spaltennamen enthalten.
1. Post-Daten bereinigen
Sie können ein Array von Spaltennamen auf der Whitelist definieren $whitelist = array('field1', 'field2', ...) , und verwenden Sie dann:
$data = array_intersect_key($_POST, array_flip($whitelist));
um die Schnittmenge zwischen den Spalten auf der weißen Liste und Ihrem $_POST-Array zu finden. (Danke @BillKarwin)
2. Erstellen Sie die Abfrage
private function buildInsertSql($data, $table) {
$columns = "";
$holders = "";
foreach ($data as $column => $value) {
$columns .= ($columns == "") ? "" : ", ";
$columns .= $column;
$holders .= ($holders == "") ? "" : ", ";
$holders .= ":$column";
}
$sql = "INSERT INTO $table ($columns) VALUES ($holders)";
return $sql;
}
Dadurch erhalten Sie eine SQL-Anweisung der Form:
$sql = INSERT INTO directory (field1, field2) VALUES (:field1, :field2)
und bereiten Sie die Erklärung vor:
$stmt = $dbh->prepare($sql);
3. Bindungsparameter
Anschließend können Sie Parameter dynamisch an die Platzhalter binden:
foreach ($data as $placeholder => $value) {
$stmt->bindValue(":$placeholder", $value);
}
und führe es aus:
$stmt->execute();
Etwas fortgeschrittener...
- Sehen Sie sich diesen Link an Bindung an denselben Platzhalter Informationen dazu, wie Sie Ihre dynamisch vorbereitete Anweisung stabiler machen können.
- Sehen Sie sich diesen Link an:Parameter innerhalb der Schleife binden Für eine Einschränkung bezüglich der Bindung von Parametern und Werten in einer Schleife.
