Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> bindValue(), prepare(), czy można lepiej?
Hfastmet
post
Post #1





Grupa: Zarejestrowani
Postów: 49
Pomógł: 0
Dołączył: 26.07.2008

Ostrzeżenie: (0%)
-----

Witam szanowną brać programistyczną!

Od dłuższego czasu zastanawiam się i nie mogę znaleźć rozwiązania następującej kwestii.

Otóż mam np. taki wycinek kodu:

[PHP] pobierz, plaintext 
  1. $this->zapytanie = $this->connect->prepare('SELECT `Plac` 
  2.                                                                   FROM `stock`
  3.                                                                   WHERE `login` =:login
  4.                                                                   AND `village_id` =:village_id');
  5.  
  6.         $this->zapytanie->bindValue('login', $this->user, PDO::PARAM_STR);
  7.         $this->zapytanie->bindValue('village_id', $this->village_id, PDO::PARAM_STR);
  8.  
  9.         $this->zapytanie->execute();
[PHP] pobierz, plaintext


jak widać, wpisane jest "na sztywno" pole (`Plac`), tabela(`stock`), lewa część warunku (`login`, `village_id`) , a podpinam prawą część warunku, która zmienia się zależnie od właściwości, czyli $this->user i $this->village_id.

Teraz pytanie.

Czy istnieje jakakolwiek metoda by podpinać również pole lub/i tabelę lub/i warunek itp?

czyli coś takiego (to oczywiście nie działa):

[PHP] pobierz, plaintext 
  1. $this->zapytanie = $this->connect->prepare('SELECT :pole 
  2.                                                                   FROM :tabela
  3.                                                                   WHERE :co =:login
  4.                                                                   AND :kolejne_co =:village_id');
  5.  
  6.         $this->zapytanie->bindValue('pole', $this->pole, PDO::PARAM_STR);
  7.         $this->zapytanie->bindValue('tabela', $this->tabela, PDO::PARAM_STR);
  8.         $this->zapytanie->bindValue('co', $this->co, PDO::PARAM_STR);
  9.         $this->zapytanie->bindValue('kolejne_co', $this->kolejne_co, PDO::PARAM_STR);
  10.         $this->zapytanie->bindValue('login', $this->user, PDO::PARAM_STR);
  11.         $this->zapytanie->bindValue('village_id', $this->village_id, PDO::PARAM_STR);
  12.  
  13.         $this->zapytanie->execute();
  14.  
[PHP] pobierz, plaintext


Ten post edytował Hfastmet 27.04.2010, 19:53:31
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi (1 - 8)
nospor
post
Post #2





Grupa: Moderatorzy
Postów: 36 557
Pomógł: 6315
Dołączył: 27.12.2004
Nie binduje się nazw pól ani nazw tabel. Binduje się jedynie wartosci


--------------------

"Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista
"Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer
Go to the top of the page
+Quote Post
Hfastmet
post
Post #3





Grupa: Zarejestrowani
Postów: 49
Pomógł: 0
Dołączył: 26.07.2008

Ostrzeżenie: (0%)
-----

OK, a czy jest jakaś możliwość by nie wpisywać tabeli oraz pól na sztywno tylko wykonywać to dynamicznie?
Go to the top of the page
+Quote Post
nospor
post
Post #4





Grupa: Moderatorzy
Postów: 36 557
Pomógł: 6315
Dołączył: 27.12.2004




 
[PHP] pobierz, plaintext 
  1. $tabela = 'stock';
  2. $this->zapytanie = $this->connect->prepare('SELECT `Plac` 
  3.                                                                   FROM `'.$tabela.'`
  4.                                                                   WHERE `login` =:login
  5.                                                                   AND `village_id` =:village_id');
[PHP] pobierz, plaintext

smile.gif


--------------------

"Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista
"Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer
Go to the top of the page
+Quote Post
Hfastmet
post
Post #5





Grupa: Zarejestrowani
Postów: 49
Pomógł: 0
Dołączył: 26.07.2008

Ostrzeżenie: (0%)
-----

Właśnie o coś takiego chodziło smile.gif

zaraz sprawdzę, jak zadziała klikam "Pomógł" smile.gif)
Go to the top of the page
+Quote Post
Mchl
post
Post #6





Grupa: Zarejestrowani
Postów: 855
Pomógł: 145
Dołączył: 17.07.2008
Skąd: High Memory Area

Ostrzeżenie: (0%)
-----

Zadziałać zadziała, ale musisz teraz dbać o to, żeby przez tą zmienną nie wlazł Ci jakiś SQL injection.
Go to the top of the page
+Quote Post
Hfastmet
post
Post #7





Grupa: Zarejestrowani
Postów: 49
Pomógł: 0
Dołączył: 26.07.2008

Ostrzeżenie: (0%)
-----

OK, działa, dużo kodu mi zaoszczędziłeś smile.gif

Co do SQL Injection, pola mam prywatne i ustawiam setterem, chyba nie powinno się nic dziać?
Go to the top of the page
+Quote Post
Mchl
post
Post #8





Grupa: Zarejestrowani
Postów: 855
Pomógł: 145
Dołączył: 17.07.2008
Skąd: High Memory Area

Ostrzeżenie: (0%)
-----

Jeśli w jakikolwiek sposób ta zmienna może zostać ustawiona przez użytkownika, zabezpiecz ją.
Wyobraź sobie, że ktoś znajdzie sposób, żeby wpisać tam:
Kod
$tabela = 'stock` CROSS JOIN stock CROSS JOIN stock CROSS JOIN stock CROSS JOIN stock CROSS JOIN stock --';
Go to the top of the page
+Quote Post
Hfastmet
post
Post #9





Grupa: Zarejestrowani
Postów: 49
Pomógł: 0
Dołączył: 26.07.2008

Ostrzeżenie: (0%)
-----

Użytkownik ogląda tylko wyniki, nie ma możliwości ustawienia tego w żaden sposób.

Ale dzięki za sugestie.
Go to the top of the page
+Quote Post
« Następny starszy · MySQL · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 22.08.2025 - 08:07
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn