0

这是我在 PDO 中的插入方法,它 100% 有效。这个“插入”方法接受表、列和值,但我想让它变得通用。(我想插入带有或不带有列名的值)

public function insert($table, $pair = array()){
    try{
        $Sql = "INSERT INTO $table ( ";
        $Sql .= implode(", ", array_keys($pair));
        $Sql .= " )";
        $Sql .= " VALUES (";
        $Sql .= implode(", ", array_fill("0", count($pair), " ?"));
        $Sql .= " )";
        $array = array_combine(array_keys(array_fill("1", count($pair), ":")), $pair);
        $ready = $this->conn->prepare($Sql);
        foreach($array as $key => $value)
        {
            $ready->bindValue($key, $value, PDO::PARAM_STR);
        }
        $ready->execute();
    }
    catch(Exception $e){
        $this->trace .= " • ". $e->getMessage();  
    }
}


$new = new community();
echo $new->insert("table", array("Col1" => "value1", "col1" => "value1"));
4

1 回答 1

1

您的功能有两个问题。

  1. 它容易受到 SQL 注入的攻击。
  2. 它不灵活。按照这种模式,您将拥有一千个此类函数,这将使您的代码变得一团糟。然而,对于真正的 SQL ,它总是有限的子集。

您真正需要的是一个可以从数组和允许字段列表中创建 SET 语句的函数。
作为进一步的改进,您可以为此语句设计一个自定义占位符。

有了这两件事,您就可以制定一个通用函数来运行所有 DML 查询,如下所示:

$db->query("INSERT INTO t SET %u", array("Col1" => "value1", "col1" => "value1"));

这将花费您 3 个额外的单词(插入、插入和设置),但它会

  • 可读。每个人都可以理解 SQL。虽然要阅读您的功能,但需要一份文档
  • 灵活的。它可以支持任何查询和修饰符,而不仅仅是一个单一形式的插入。

您希望可以使用此单个函数运行的每个查询:

$data = array("Col1" => "value1", "col1" => "value1");
$db->query("INSERT IGNORE INTO t SET %u", $data);
$db->query("REPLACE INTO t SET %u", $data);
$db->query("DELETE FROM t WHERE id = ?", $id);
// and so on

实际上不需要专门的功能。

此外,您必须始终根据硬编码的白名单验证一组字段,以让用户仅插入他们允许的字段。不要让用户更改权限、消息计数等。

但即使没有自定义占位符,它也不需要一组 SQL 映射函数,而只需要一个创建 SET 的函数和一个通用查询执行函数:

$allowed = array("name","surname","email"); // allowed fields
$sql = "INSERT INTO users SET ".pdoSet($fields,$values);
$stm = $dbh->query($sql ,$values);
于 2013-07-17T08:46:56.400 回答