Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
 Reply to this topicStart new topic
> [MySQL][PHP]PDO i prepared sql
konrados
post
Post #1





Grupa: Zarejestrowani
Postów: 623
Pomógł: 79
Dołączył: 16.01.2008

Ostrzeżenie: (0%)
-----

Cześć,

Chcę się przerzucić na PDO i już pierwszy śmieszny problem. Byłem pewien, że z PDO łatwo mi pójdzie INSERT lub UPDATE na podstawie podanego arraya, robię więc coś takiego:

[PHP] pobierz, plaintext 
  1. //$gDb to globalna zmienna trzymająca pdo, połączenie jest OK, tabela "stations" istnieje.
  2. $data = array();
  3. $data['name'] = "test name";
  4. $data['formatType'] = "1";
  5. $data['resolutionType'] = "1";
  6. $sqlPrep = $gDb->prepare(
  7. 'INSERT INTO stations (name, formatType, resolutionType) VALUES (?, ?, ?)');
  8. $sqlPrep->execute($data);
[PHP] pobierz, plaintext


I otrzymuję błąd: Warning: PDOStatement::execute() [pdostatement.execute]: SQLSTATE[HY093]: Invalid parameter number: parameter was not defined in ...

Czyżbym musiał to przekształcać na zwykłą, płaską tablicę, bez powiązanych nazw typu 'name'='coś tam'? Czy może da się inaczej?

W mojej klasie StationItem przechowuję po prostu zmienną $data która zawiera array typu "name"="coś tam", "formatType"="coś innego" i chciałbym bezproblemowo ją odczytywać z bazy danych i tam zapisywać.

Ten post edytował konrados 1.03.2011, 11:19:25
Go to the top of the page
+Quote Post
nospor
post
Post #2





Grupa: Moderatorzy
Postów: 36 559
Pomógł: 6315
Dołączył: 27.12.2004
A tak:
$sqlPrep->execute(array_values($data));
?
Go to the top of the page
+Quote Post
konrados
post
Post #3





Grupa: Zarejestrowani
Postów: 623
Pomógł: 79
Dołączył: 16.01.2008

Ostrzeżenie: (0%)
-----

Ale Ty szybki jesteś (IMG:style_emoticons/default/smile.gif)

Działa.

A da się jakoś tak zrobić w jednej linijce, by nie trzeba było podawać nazw pól w funk. "prepare" ani tych znaków zapytania, skoro wszystkie te informacje są już mojej tablicy $data?

Aha i drugie pytanie: skoro już się bawię w te prepared statements, to już się nie muszę bawić w czyszczenie danych w $data wprowadzonych przez usera, tak? Mam na myśli możliwe sql injection.

Ten post edytował konrados 1.03.2011, 11:37:32
Go to the top of the page
+Quote Post
nospor
post
Post #4





Grupa: Moderatorzy
Postów: 36 559
Pomógł: 6315
Dołączył: 27.12.2004
Jeśli Twoje zapytanie będzie zawsze tak wyglądało, to możesz napisać funkcję, w której dynamicznie będziesz budował te zapytanie na podstawie $data. Nie widzę żadnego problemu.

Cytat
Mam na myśli możliwe sql injection.
Tak, prepared statement cię przed tym zabezpiecza. Nie mniej jednak ja tam zawsze liczby rzutuje na liczby - tak dla porządku (IMG:style_emoticons/default/smile.gif)
Go to the top of the page
+Quote Post
konrados
post
Post #5





Grupa: Zarejestrowani
Postów: 623
Pomógł: 79
Dołączył: 16.01.2008

Ostrzeżenie: (0%)
-----

OK, dzięki!
Update: ale już tworzę następny wątek (IMG:style_emoticons/default/smile.gif)

Ten post edytował konrados 1.03.2011, 12:44:34
Go to the top of the page
+Quote Post
« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 26.09.2025 - 08:48
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn