Kueri yang disiapkan secara dinamis
Anda dapat membuat kueri secara dinamis dari array $_POST:
Namun, JANGAN PERNAH mempercayai masukan pengguna, yang berarti Anda tidak dapat mempercayai bahwa data di $_POST akan berisi nama kolom yang valid.
1. Bersihkan data pos
Anda dapat menentukan larik nama kolom yang masuk daftar putih $whitelist = array('field1', 'field2', ...) , lalu gunakan:
$data = array_intersect_key($_POST, array_flip($whitelist));
untuk menemukan perpotongan antara kolom yang masuk daftar putih dan larik $_POST Anda. (Terima kasih @BillKarwin)
2. Buat kueri
private function buildInsertSql($data, $table) {
$columns = "";
$holders = "";
foreach ($data as $column => $value) {
$columns .= ($columns == "") ? "" : ", ";
$columns .= $column;
$holders .= ($holders == "") ? "" : ", ";
$holders .= ":$column";
}
$sql = "INSERT INTO $table ($columns) VALUES ($holders)";
return $sql;
}
Ini akan memberi Anda pernyataan SQL dalam bentuk:
$sql = INSERT INTO directory (field1, field2) VALUES (:field1, :field2)
dan siapkan pernyataan:
$stmt = $dbh->prepare($sql);
3. Mengikat parameter
Anda kemudian dapat secara dinamis mengikat parameter ke placeholder:
foreach ($data as $placeholder => $value) {
$stmt->bindValue(":$placeholder", $value);
}
dan jalankan:
$stmt->execute();
Sedikit lebih maju...
- Lihat tautan ini Mengikat ke placeholder yang sama Untuk informasi tentang cara membuat pernyataan siap dinamis Anda lebih kuat.
- Lihat tautan ini:Ikat Params Di Dalam Loop Untuk peringatan tentang mengikat paramaters vs nilai dalam satu lingkaran.
