動的に準備されたクエリ
$ _POST配列から動的にクエリを作成できます:
ただし、ユーザー入力を信頼しないでください。つまり、$_POSTのデータに有効な列名が含まれることを信頼することはできません。
1。投稿データをサニタイズする
ホワイトリストに登録された列名の配列を定義できます$whitelist = array('field1', 'field2', ...) 、次に使用します:
$data = array_intersect_key($_POST, array_flip($whitelist));
ホワイトリストに登録された列と$_POST配列の共通部分を検索します。 (@BillKarwinに感謝します)
2。クエリを作成する
private function buildInsertSql($data, $table) {
$columns = "";
$holders = "";
foreach ($data as $column => $value) {
$columns .= ($columns == "") ? "" : ", ";
$columns .= $column;
$holders .= ($holders == "") ? "" : ", ";
$holders .= ":$column";
}
$sql = "INSERT INTO $table ($columns) VALUES ($holders)";
return $sql;
}
これにより、次の形式のSQLステートメントが提供されます。
$sql = INSERT INTO directory (field1, field2) VALUES (:field1, :field2)
ステートメントを準備します:
$stmt = $dbh->prepare($sql);
3。バインドパラメータ
次に、パラメータをプレースホルダーに動的にバインドできます。
foreach ($data as $placeholder => $value) {
$stmt->bindValue(":$placeholder", $value);
}
そしてそれを実行します:
$stmt->execute();
もう少し進んだ...
- このリンクをご覧ください
- 次のリンクをご覧ください:ループ内のパラメータをバインド バインディングパラメータとループ内の値に関する警告について。