20

我有一些列类型为 int,但值为空。所以我想在插入数据库时​​将空转换为空。我使用代码:

function toDB($string) {
    if ($string == '' || $string == "''") {
        return 'null';
    } else {
        return "'$string'";
    }
}

//age,month,year is type integer.
$name="Veo ve";
$age='10';
$month='';
$year='';
    $query="Insert Into tr_view(name,age,month,year) values ({toDB($name)},{toDB($age)},{toDB($month)},{toDB($year)})
 $db->setQuery($query);
 $result= $db->query();

但它显示错误:

 pg_query(): Query failed: ERROR: syntax error at or near ";" LINE 153: {toDB(10)}, ^ in...

为什么?

4

2 回答 2

77

有以下NULLIF()功能:

SELECT NULLIF(var, '');

如果var持有 2 美元的价值,你会得到NULL
在示例中,我将空字符串:替换''NULL.

integer 类型没有空字符串。只是不可能。由于NULLIF()无法切换数据类型,您必须在 PHP 中清理您的输入。

如果您没有定义列默认值,您也可以在命令中省略该列INSERT,它将被填充NULL(这是默认值DEFAULT)。

检查PHP中的参数是否为空,如果是,则不要在INSERT命令中包含该列。

或者使用PHP 文字 NULL代替,就像 Quassnoi在这里演示的那样。

其余的仅对字符串类型有意义

为了绝对确定,没有人可以输入一个空字符串CHECK给表添加一个约束:

ALTER TABLE tr_view
ADD CONSTRAINT tr_view_age_not_empty CHECK (age <> '');

避免由此引起的异常,您可以添加一个自动修复输入的触发器:

CREATE OR REPLACE FUNCTION trg_tr_view_avoid_empty()
  RETURNS trigger AS
$func$
BEGIN
   IF NEW.age = '' THEN
      NEW.age := NULL;
   END IF;

   IF NEW.month = '' THEN
      NEW.month := NULL;
   END IF;

   RETURN NEW;
END
$func$  LANGUAGE plpgsql

CREATE TRIGGER tr_view_avoid_empty
BEFORE INSERT OR UPDATE ON tr_view
FOR EACH ROW
WHEN (NEW.age = '' OR NEW.month = '')
EXECUTE PROCEDURE trg_tr_view_avoid_empty();
于 2012-12-26T04:05:33.753 回答
8

NULLIF虽然 Erwin的回答很棒,但它并没有解决您的语法错误。

让我们看一下查询:

$query="Insert Into tr_view(name,age,month,year) values ({toDB($name)},{toDB($age)},{toDB($month)},{toDB($year)})

之前您定义了一个名为toDB. 不幸的是,您在这里使用的语法不是如何从双引号字符串中调用函数,因此 curlies 和toDB(bits 仍在传递。有两种选择:

  1. 连接使用.

    $query='insert Into tr_view(name,age,month,year) values (' . toDB($name) . ',' . toDB($age) . ',' . toDB($month) . ',' . toDB($year) . ')')
    
  2. 因此,您可以将可调用变量插入双引号字符串:

    $fn = 'toDB';
    $query="Insert Into tr_view(name,age,month,year) values ({$fn($name)},{$fn($age)},{$fn($month)},{$fn($year)})";
    

第一个是清晰和理智的,第二个对于不熟悉的和彻头彻尾的疯子来说是模糊的。

但是,您仍然不应该像这样组装输入。您仍然可能容易受到SQL 注入攻击。您应该使用带有参数化占位符的准备好的语句

Postgres 扩展pg_prepare用于此目的。它们具有明显的优势,例如,允许您通过 PHPnull而不必担心所有的 null 检测和引用。

如果您坚持保持toDB原样,请考虑将其中一个pg_escape_函数,如pg_escape_string,添加到构建引用字符串的事物中。

于 2012-12-26T05:22:25.507 回答