3

是否可以在 PHP 中使用 MySQLi 在不知道字段名称、字段数量及其值的情况下使用数组更新表。

我已经尝试使用准备好的语句在键和值字段(?=?)上插入问号。我在想是否可以在更新查询中使用 () VALUES () 我可能有一个解决方案,但我猜不存在这样的事情。

看我的脚本:

<?php
    class UserHandler {
        public function updateUserData($array, $id) {
            global $mysqli;
            $stmt = $mysqli->prepare("UPDATE users SET ?=? WHERE id = ?");
            $stmt->bind_param('ssi', $array[0], $array[1], $id);
            $stmt->execute();
            return true;
        }
    }

    $users = new UserHandler;
?>

我希望用法是这样的:

<?php
    $users->updateUserData(array(
        'firstname' => 'Wanda',
        'lastname' => 'Merritt',
        'state' => 'IN'
        'address' => '693 Pearcy Avenue',
        'zipcode' => 46625,
    ), 45);

    $users->updateUserData(array(
        'firstname' => 'Stanley',
        'lastname' => 'Lewis',
        'password' => '123123'
    ), 159);
?>
4

6 回答 6

6

一个查询,带有准备好的语句:

public function updateUserData($array, $id) {
    global $mysqli;
    $query = "UPDATE `users` SET ";
    $parts = array();
    foreach ($array as $key => $value) {
        $parts[] = "`" . $key . "` = ?";
    }
    $query = $query . implode(",", $parts) . " WHERE id = ?";

    $stmt = $mysqli->prepare($query);

    foreach ($array as $key => $value) {
        $stmt->bind_param('s', $value);
    }
    $stmt->bind_param('i', $id);
    $stmt->execute();
    return true;
}

这确实假设所有值都是字符串。

于 2013-10-03T11:15:24.557 回答
1

我曾经写过一个 PDO 包装器,它执行更新/插入查询,给定一个列 => 值对的数组。同样的一般策略在这里也可能有用。

你想要做的是这样的:

public function updateUserData($array, $id)
{
    // Instead of a global, consider dependency injection and object properties?
    global $mysqli;

    if (empty($array)) {
        return false;
    }

    // Build the update query:
    $binding = '';
    $columns = '';
    $params = [];
    foreach ($array as $key => $value) {
        $binding .= 's';
        // Note: A whitelist is better here than escaping:
        $columns .= ' `' . preg_replace('/[^a-z_A-Z0-9]/', '', $key) . '` = ?,';
        $params []= (string) $value;
    }
    $params []= $id;

    $stmt = $mysqli->prepare(
        "UPDATE users SET " . rtrim($columns, ',') . " WHERE id = ?"
    );
    $stmt->bind_param(
        $binding . 'i', 
        ...$params
    );
    return $stmt->execute();
}

(在可能的情况下,我采用了问题中提供的代码。我个人会更通用地解决这个问题,就像我对上面的包装器所做的那样,然后只使用抽象。)

这假定所有字符串。如果您愿意,您可以检测$valueforeach 循环中的类型以指定不同的类型占位符。(仅限 PHP 5.6+,这是目前唯一支持的版本。)

在上面的示例中,它构建的字符串应该如下所示:

<?php
/*
$users->updateUserData(array(
    'firstname' => 'Wanda',
    'lastname' => 'Merritt',
    'state' => 'IN'
    'address' => '693 Pearcy Avenue',
    'zipcode' => 46625,
), 45);
*/

# Query string: 
  "UPDATE users SET  `firstname` = ?, `lastname` = ?, `state` = ?, `address` = ?, `zipcode` = ? WHERE id = ?"
# Binding:
  "sssssi"
# Parameters
  [
    'wanda',
    'Merritt',
    'IN',
    '693 Pearcy Avenue',
    '46625',
    45
  ]

接着:

/*
$users->updateUserData(array(
    'firstname' => 'Stanley',
    'lastname' => 'Lewis',
    'password' => '123123'
), 159);
*/
# Query String:
  "UPDATE users SET  `firstname` = ?, `lastname` = ?, `password` = ? WHERE id = ?"
# Binding:
  "sssi"
# Parameters:
  [
    'Stanley',
    'Lewis',
    '123123'
  ]

不言而喻,但我还是要说:不要存储明文密码。

于 2016-08-19T18:20:12.107 回答
0

使用查询生成器可以简化您的生活:

public function updateUserData($array, $id) {
    global $db;
    $q = new Query($db);
    $q->table('users')
    $q->set($array);
    $q->where('id', $id);
    $q->update();
    return true;
}

查询构建器的工作是自动转义字段名称以防止注入并为值分配参数变量。

有许多不同的查询生成器,我使用了DSQL的语法。

于 2016-08-19T21:21:22.567 回答
-2 
$a=array("item1"=>"object1", "item2"=>"object2");


      function update_data($a, $id)
        {
            $sql = "UPDATE Tbl_name SET ";
            $sql .= urldecode(http_build_query($a,'',', '));
            $sql .= " WHERE img_id='".$id."'";

             //echo $sql;//this is only for testing.  
}

echo update_data($a, $id);

输出为:更新图像 SET item1=object1, item2=object2

于 2016-08-19T03:17:20.687 回答
-4

我是新编码员。这是我通过数组更新 Mysql 的解决方案。它检查值是否为空并防止 mysql 注入。

$datas = array('column_name' => 'data');

function esemenyFeltolto(array $datas, $id){

$mysqli = getConnect();

foreach($datas as $key=>$value){

    if(!empty($value)){
         $key = $mysqli->real_escape_string($key);
         $value = $mysqli->real_escape_string($value);

         $data[] = $key.'="'.$value.'"';
         }
    }

    $query = "UPDATE table SET ".implode(',',$data)." WHERE table_id = ".$id;
    $mysqli->query($query);
}
于 2014-12-15T14:36:48.207 回答
-4

如果我想做这样的事情,我会遍历数组,如下所示:

function updateUserData($array, $id) {
  $query = 'UPDATE `table` SET ';
  $sep = '';
  foreach($array as $key=>$value) {
    $query .= $sep.$key.' = "'.$value.'"';
    $sep = ',';
  }
  $query .= ' WHERE `id` = "'.$id.'"';
  // execute query
}
于 2013-10-03T11:06:41.483 回答