MySQL declarações preparado com uma lista variável de tamanho variável

StackOverflow https://stackoverflow.com/questions/327274

Pergunta

Como você escrever uma instrução MySQL preparada em PHP que leva um número diferente de argumentos de cada vez? Um exemplo tal consulta é: 

SELECT `age`, `name` FROM `people` WHERE id IN (12, 45, 65, 33)

A cláusula IN terá um número diferente de ids cada vez que é executado.

Eu tenho duas soluções possíveis em minha mente, mas quero ver se há uma maneira melhor.

Solução possível 1 Faça a indicação aceitar 100 variáveis ??e preencher o resto com valores fictícios garantidos para não ser na tabela; fazer várias chamadas para mais de 100 valores.

Possível Solução 2 Não use uma declaração preparada; construir e executar a consulta verificar rigorosamente para possíveis ataques de injeção.

Foi útil?

Solução

Eu posso pensar em soluções casal.

Uma solução poderia ser a criação de uma tabela temporária. Fazer uma inserção na tabela para cada parâmetro que você teria no na cláusula. Em seguida, faça uma junção simples contra a sua tabela temporária.

Outro método poderia ser a de fazer algo assim. 

$dbh=new PDO($dbConnect, $dbUser, $dbPass);
$parms=array(12, 45, 65, 33);
$parmcount=count($parms);   // = 4
$inclause=implode(',',array_fill(0,$parmcount,'?')); // = ?,?,?,?
$sql='SELECT age, name FROM people WHERE id IN (%s)';
$preparesql=sprintf($sql,$inclause);  // = example statement used in the question
$st=$dbh->prepare($preparesql);
$st->execute($parms);

Eu suspeito, mas não tenho nenhuma prova, que a primeira solução poderia ser melhor para listas maiores, e mais tarde iria trabalhar para listas menores.

Para fazer feliz @orrd aqui é uma versão concisa. 

$dbh=new PDO($dbConnect, $dbUser, $dbPass);
$parms=array(12, 45, 65, 33);
$st=$dbh->prepare(sprintf('SELECT age, name FROM people WHERE id IN (%s)',
                          implode(',',array_fill(0,count($parms),'?'))));
$st->execute($parms);

Outras dicas

Há também a FIND_IN_SET função cujas segundo parâmetro é uma seqüência de valores separados por vírgula: 

SELECT age, name FROM people WHERE FIND_IN_SET(id, '12,45,65,33')

wrappers sql decentes suportam ligação a valores da matriz. ou seja 

$sql = "... WHERE id IN (?)";
$values = array(1, 2, 3, 4);
$result = $dbw -> prepare ($sql, $values) -> execute ();

Por favor, tome # 2 da mesa. declarações preparadas são a única maneira que você deve considerar proteger-se contra injeção de SQL.

O que você pode fazer, porém, é gerar um conjunto dinâmico de variáveis ??de ligação. ou seja, não fazer 100 se precisar de 7 (ou 103).

eu tenho a minha resposta de: http://bugs.php.net/bug php? id = 43568
esta é a minha solução de trabalho para o meu problema. Agora eu posso usar dinamicamente quantos parâmetros que eu quero. Eles serão o mesmo número que eu tenho em uma matriz ou como neste caso eu estou passando os ids da última consulta (que encontrou todos os ids onde email = 'johndoe@gmail.com') para a consulta dinâmica para obter todas as informações sobre cada um destes id não importa quantas eu acabar precisando. 

<?php $NumofIds = 2; //this is the number of ids i got from the last query
    $parameters=implode(',',array_fill(0,$NumofIds,'?')); 
    // = ?,? the same number of ?'s as ids we are looking for<br />
    $paramtype=implode('',array_fill(0,$NumofIds,'i')); // = ii<br/>
    //make the array to build the bind_param function<br/>
    $idAr[] = $paramtype; //'ii' or how ever many ?'s we have<br/>
    while($statement->fetch()){ //this is my last query i am getting the id out of<br/>
        $idAr[] = $id;  
    }

    //now this array looks like this array:<br/>
    //$idAr = array('ii', 128, 237);

    $query = "SELECT id,studentid,book_title,date FROM contracts WHERE studentid IN ($parameters)";
    $statement = $db->prepare($query);
    //build the bind_param function
    call_user_func_array (array($statement, "bind_param"), $idAr);
    //here is what we used to do before making it dynamic
    //statement->bind_param($paramtype,$v1,$v2);
    $statement->execute();
?>

Se você estiver usando apenas valores inteiros em sua cláusula IN, não há nada que argumenta contra a construção de sua consulta de forma dinâmica sem o uso de parâmetros SQL. 

function convertToInt(&$value, $key)
{
    $value = intval($value);
}

$ids = array('12', '45', '65', '33');
array_walk($ids, 'convertToInt');
$sql = 'SELECT age, name FROM people WHERE id IN (' . implode(', ', $ids) . ')';
// $sql will contain  SELECT age, name FROM people WHERE id IN (12, 45, 65, 33)

Mas, sem dúvida, a solução aqui é a abordagem mais geral para este problema.

Eu tive um problema semelhante hoje e eu achei este tema. Olhando para as respostas e pesquisando em torno do google eu encontrei uma solução bonita.

Embora, o meu problema é um pouco mais complicado. Porque eu ter fixado valores e dinâmica ligação demasiado .

Esta é a solução. 

$params = array()
$all_ids = $this->get_all_ids();

for($i = 0; $i <= sizeof($all_ids) - 1; $i++){
    array_push($params, $all_ids[$i]['id']);
}

$clause = implode(',', array_fill(0, count($params), '?')); // output ?, ?, ?
$total_i = implode('', array_fill(0, count($params), 'i')); // output iiii

$types = "ss" . $total_i; // will reproduce : ssiiii ..etc

// %% it's necessary because of sprintf function
$query = $db->prepare(sprintf("SELECT * 
                                FROM clients    
                                WHERE name LIKE CONCAT('%%', ?, '%%') 
                                AND IFNULL(description, '') LIKE CONCAT('%%', ?, '%%')
                                AND id IN (%s)", $clause));

$thearray = array($name, $description);
$merge    = array_merge($thearray, $params); // output: "John", "Cool guy!", 1, 2, 3, 4

// We need  to pass variables instead of values by reference
// So we need a function to that
call_user_func_array('mysqli_stmt_bind_param', array_merge (array($query, $types), $this->makeValuesReferenced($merge)));

E o Função makeValuesreferenced : 

public function makeValuesReferenced($arr){
    $refs = array();
    foreach($arr as $key => $value)
        $refs[$key] = &$arr[$key];
    return $refs;
}

Ligações para obter este 'know-how': //bugs.php: https .net / bug.php? id = 49946 , PHP acrescentar uma matriz para outra (não array_push ou +) , [PHP]: Erro -> poucos argumentos em sprintf (); , http://no2.php.net/manual/en/mysqli-stmt.bind-param.php#89171 , passagem por problema de referência com PHP 5.3.1

Licenciado em: CC-BY-SA com atribuição
Não afiliado a StackOverflow
scroll top