Gewusst wie: einfügen von array in mysql mit PDO und bindParam?

Ich bin mit dem folgenden code. Der code funktioniert, aber ich will es ändern, so dass es verwendet bindparam

try {
    $dbh = new PDO("mysql:host=$hostname;dbname=$dbname", $username, $password);
$stqid=array();

    for ($i=0; $i<$array_count; $i++){
    $stqid[$i][0]=$lastInsertValue;
    $stqid[$i][1]=$qid[$i][0];
    $stqid[$i][2]=$qid[$i][1];
    }

$values = array();
    foreach ($stqid as $rowValues) {
        foreach ($rowValues as $key => $rowValue) {
        $rowValues[$key] = $rowValues[$key];  
        }

    $values[] = "(" . implode(', ', $rowValues) . ")";
    }

$count = $dbh->exec("INSERT INTO qresults(instance, qid, result) VALUES  ".implode (', ', $values)); 
$dbh = null;
}
catch(PDOException $e){
    echo $e->getMessage();
}

Ersetzte ich die folgende

$count = $dbh->exec("INSERT INTO qresults(instance, qid, result) VALUES  ".implode (', ', $values));

mit

$sql = "INSERT INTO qresults (instance, qid, result) VALUES (:an_array)";
$stmt = $dbh->prepare($sql);
$stmt->bindParam(':an_array', implode(',', $values),PDO::PARAM_STR);
$stmt->execute();

aber das einfügen nicht mehr funktioniert (ich bekam keine Fehlermeldungen, obwohl).

FRAGE: Was mache ich falsch? Wie kann ich den code neu schreiben zu verwenden bindParam?

InformationsquelleAutor TryHarder | 2012-03-25
  1. 3

    Sie versuchen, erstellen Sie eine Anweisung, und binden Sie ein param.

    Anweisung sind groß, weil es potenziell zunichte machen jede Art von SQL-injection. Und Sie tut es, indem Sie entfernen das Konzept einer Abfrage nur als string. Die SQL-Abfrage wird als string mit einer Parameterliste und die dazugehörigen Daten wie die gebundenen Variablen.
    Also die Abfrage ist nicht nur text, sondern text + Daten.

    Ich meine:

    Diese einfache Abfrage:

    SELECT * FROM A WHERE val="$param"

    Es ist nicht sicher, da die Abfrage nur betrachtet als ein string. Und wenn $param wird nicht geprüft, es ist eine SQLi Loch.

    Aber beim erstellen einer Anweisung, Ihre Abfrage wird:

    SELECT * FROM A WHERE val=:param

    Dann verwenden Sie bindparam geben Sie den Wert ein :param. Was bedeutet der Wert nicht angehängt, um die Abfrage-string, aber die Abfrage ist bereits analysiert und die Daten zur Verfügung gestellt.

    In Ihrem Fall, Sie binden an die param :array-ein array implodiert (ich nehme an, "data1", "data2", etc..). Das ist nur ein parameter mit dem Wert als string ( "data1, data2, data3..." ), so wird es nur in einer Folge einfügen und nicht mehrere Einfügungen.

    Können Sie Ihre Anweisung generation durch die Erzeugung einer Abfrage mit genug Parameter, um Ihre array

    $sql = "INSERT INTO qresults (instance, qid, result) VALUES ( :val0, :val1, :val2, ...)";

    Dann Schleife auf das array und rufen Sie die Methode bindparam für jeden Parameter.

    $count = 0;
foreach($values as $val)
{
   $stmt->bindParam(":val$count", $val,PDO::PARAM_STR);
   $count++;

}

    Dies funktionieren wird.

    Bearbeiten: Diese Lösung zeigt, wie es funktioniert für ein ein-dimensionales array, kann aber leicht erweitert werden, um Ihr problem durch anpassen der Anweisung query generation und ändern Sie die bindparam-Schleife.

    Ihre Anweisung sollte wie folgt aussieht:

    $sql = "INSERT INTO qresults (instance, qid, result) VALUES (:val0, :val1, :val2) , (:val3, :val4, :val5), ...";

    Müssen Sie nur die Anzahl der Elemente einer Basis-array.

    • Vielen Dank für die Aktualisierung Ihrer Antwort. Es ist viel einfacher zu verstehen jetzt 🙂
    • Gibt es eine Möglichkeit, dies zu tun, wenn die Anzahl der Werte, die eingefügt werden soll, ist jedes mal anders?
    • Ja, Sie müssen nur für das generieren der Abfrage-string nach Ihren Bedürfnissen und binden Sie die Parameter, die mit denen der Abfrage, die Sie erzeugt
    InformationsquelleAutor grifos
Schreibe einen Kommentar