我在这样的字符串中有三个值:
$villes = '"paris","fes","rabat"';
当我将它输入到这样的准备好的语句中时:
$sql = 'SELECT distinct telecopie FROM `comptage_fax` WHERE `ville` IN(%s)';
$query = $wpdb->prepare($sql, $villes);
echo $query;显示:
SELECT distinct telecopie FROM `comptage_fax` WHERE `ville` IN('\"CHAPELLE VIVIERS \",\"LE MANS \",\"QUEND\"')
它不是将字符串写为三个单独的值——它只是一个带有双引号的字符串。
如何在 WordPress 中正确实现具有多个值的准备好的语句?
试试这个代码:
// Create an array of the values to use in the list
$villes = array("paris", "fes", "rabat");
// Generate the SQL statement.
// The number of %s items is based on the length of the $villes array
$sql = "
SELECT DISTINCT telecopie
FROM `comptage_fax`
WHERE `ville` IN(".implode(', ', array_fill(0, count($villes), '%s')).")
";
// Call $wpdb->prepare passing the values of the array as separate arguments
$query = call_user_func_array(array($wpdb, 'prepare'), array_merge(array($sql), $villes));
echo $query;
WordPress 已经为此提供了一个功能,请参阅esc_sql()。下面是这个函数的定义:
转义数据以在 MySQL 查询中使用。通常你应该使用 wpdb::prepare() 来准备查询。有时,转义是必需的或有用的。一个例子是准备一个用于 IN 子句的数组。
你可以像这样使用它:
$villes = ["paris", "fes", "rabat"];
$villes = array_map(function($v) {
return "'" . esc_sql($v) . "'";
}, $villes);
$villes = implode(',', $villes);
$query = "SELECT distinct telecopie FROM `comptage_fax` WHERE `ville` IN (" . $villes . ")"
功能:
function escape_array($arr){
global $wpdb;
$escaped = array();
foreach($arr as $k => $v){
if(is_numeric($v))
$escaped[] = $wpdb->prepare('%d', $v);
else
$escaped[] = $wpdb->prepare('%s', $v);
}
return implode(',', $escaped);
}
用法:
$arr = array('foo', 'bar', 1, 2, 'foo"bar', "bar'foo");
$query = "SELECT values
FROM table
WHERE column NOT IN (" . escape_array($arr) . ")";
echo $query;
结果:
SELECT values
FROM table
WHERE column NOT IN ('foo','bar',1,2,'foo\"bar','bar\'foo')
可能会或可能不会更有效,但它是可重复使用的。
首先是一组现代的非 WordPress 技术,使用 mysqli 准备好的语句,数组中的值数量未知。第二个片段将是 WordPress 的等价物。
让我们假设输入数据的索引数组是不受信任的并且可以从$_GET['villes']. 准备好的语句是现代标准,专业开发人员更喜欢旧的/不受信任的转义技术。接下来的代码片段将返回具有ville数组中指定值之一的行。如果数组未声明或为空,它将返回数据库表中的所有行。
原生 PHP 技术:
$sql = "SELECT DISTINCT telecopie FROM comptage_fax";
if (!empty($_GET['villes'])) {
$count = count($_GET['villes']);
$commaDelimitedPlaceholders = implode(',', array_fill(0, $count, '?'));
$stmt = $conn->prepare("$sql WHERE ville IN ($commaDelimitedPlaceholders)");
$stmt->bind_param(str_repeat('s', $count), ...$_GET['villes']);
$stmt->execute();
$result = $stmt->get_result();
} else {
$result = $conn->query($sql);
}
从这一点开始,您可以访问不同telecopie值的行(从技术上讲,这是一个可迭代的结果集对象),就像使用简单的foreach().
foreach ($result as $row) {
echo $row['telecopie'];
}
使用 WordPress 的辅助方法,语法更简单,因为变量绑定和查询执行由以下人员处理get_results():
$sql = "SELECT DISTINCT telecopie FROM comptage_fax";
if (!empty($_GET['ville']) {
$commaDelimitedPlaceholders = implode(',', array_fill(0, count($_GET['ville']), '%s'));
$sql = $wpdb->prepare("$sql WHERE ville IN ($commaDelimitedPlaceholders)", $_GET['ville']);
}
$result = $wpdb->get_results($sql, ARRAY_A);
从这一点来看,$result是关联数组的索引数组——特别是因为ARRAY_A. $result不是第一个原生 php 片段中的结果集对象。这意味着您可以array_在数据上使用经典的循环语言构造函数或完整的函数。
有用的参考资料:
这是我IN (...)清理$wpdb.
$wpdb->prepare()以确保它被正确转义。sprintf()。辅助函数:
// Helper function that returns a fully sanitized value list.
function _prepare_in ( $values ) {
return implode( ',', array_map( function ( $value ) {
global $wpdb;
// Use the official prepare() function to sanitize the value.
return $wpdb->prepare( '%s', $value );
}, $values ) );
};
示例用法:
// Sample 1 - note that we use "sprintf()" to build the SQL query!
$status_cond = sprintf(
'post_status IN (%s)',
_prepare_in( $status )
);
$posts = $wpdb->get_col( "SELECT ID FROM $wpdb->posts WHERE $status_cond;" );
// Sample 2:
$posts = $wpdb->get_col( sprintf( "
SELECT ID
FROM $wpdb->posts
WHERE post_status IN (%s) AND post_type IN (%s)
;",
_prepare_in( $status ),
_prepare_in( $post_types )
) );
该prepare函数还接受一个array作为第二个参数。
您可以尝试$villes像这样转换:
当前的
<?php
$villes = '"paris","fes","rabat"';
?
将其更改为
<?php
$villes = array("paris","fes","rabat");
?>
现在,尝试传递$villes给 prepare 函数,看看它是否有效。希望能帮助到你。