1

所以我有一些代码

//passed as function param
$clause[2] = "'2016-09-09' AND '2016-09-09'"

$sql = "SELECT {$columns} FROM `{$table}` WHERE `{$clause[0]}` {$clause[1]} :clause";
$stm = $this->db->prepare($sql);
$stm->bindValue("clause", $clause[2]);
if ($stm->execute()) {
   return $stm->fetchAll(PDO::FETCH_OBJ);
}
d
//echo'd $sql
SELECT * FROM `deliveries` WHERE `delivery-date` BETWEEN :clause

如果我用原始输入替换:clausein ,那么它工作正常。一旦我尝试使用 :clause 或使用 a 绑定它,它就会失败。我不知道该怎么办:(谢谢你的帮助!$sql'2016-09-09' AND '2016-09-09'?

4

1 回答 1

2

你不能像那样绑定整个表达式。绑定值不仅仅是字符串替换。只能在通常放置单个标量值的位置绑定 SQL 查询中的值。例如,如果您需要两个值作为BETWEEN谓词,则需要两个占位符。

此外,您不得在绑定值中加上引号。占位符仅表示一个标量值这一事实使得引号变得不必要。

看起来您正在尝试创建一个通用函数,以便您可以创建任何您想要的条件,并且您的$clause数组应该包含列、运算符和值。

您将不得不编写代码来为多值谓词(如IN()or )设置不同的 SQL 格式BETWEEN

$column = $clause[0];
$operator = $clause[1];
$valuesArray = (array) $clause[2];
switch ($operator) {
case 'IN':
    $expression = "(" . implode(",", array_fill(1, count($valuesArray), "?") . ")";
    break;
case 'BETWEEN':
    $expression = "? AND ?";
    break;
default:
    $expression = "?";
}
$sql = "SELECT {$columns} FROM `{$table}` WHERE `{$column}` {$operator} {$expression}";
$stm = $this->db->prepare($sql);
$stm->execute($valuesArray);
return $stm->fetchAll(PDO::FETCH_OBJ);

我懒得去测试 execute() 的返回值,因为你应该只启用PDO::ERRMODE_EXCEPTION.

于 2016-09-09T22:13:34.167 回答