PDO::prepare(), bindValue(), a tworzenie zapytania w pętli Opcje

[Piotrbaz]

Witajcie, mam nietypowy (chyba) problem (IMG:style_emoticons/default/wink.gif)

W swoim modelu mam funkcję do obsługi wyszukiwarki, która przyjmuje tablicę słów do wyszukania w bazie. W całym modelu używam PDO i funkcji prepare() oraz execute() więc chciałbym również i w tym przypadku je zastosować, ponieważ zależy mi na bindValue().

Problem w tym, że zapytanie SELECT konstruuję w taki sposób:

[PHP] pobierz, plaintext 
     public function getSearchedData(array $keywords_array){
 
          $where = null;
          $total_keywords = count($keywords_array);  //ilosc slow wpisanych w szukajke
 
          //pętla foreach do konstrukcji warunku(ów) WHERE
          foreach($keywords_array as $key => $keyword){
 
               $where .= "((ads_advertisement.title LIKE '%$keyword%') 
                              OR (ads_advertisement.description LIKE '%$keyword%') 
                              OR (ads_advertisement.content LIKE  '%$keyword%'))";       // szukam po title, description i content
 
               if($key !== ($total_keywords - 1)){
 
                    $where .= " AND ";    // jesli było więcej niż jedno słowo, dodaję AND i zabawa od początku
 
               }
          }
 
          $query = "SELECT (...) WHERE $where";     //ogólna konstrukcja zapytania SELECT
 
 
          $result = $this->db->prepare($query);
          $this->select_Ads($result);   // w funkcji select_Ads jest  między innymi $result->execute();
 
          return $this->ads;
 
     }
 
 
[PHP] pobierz, plaintext 

Mam nadzieję, że do tej pory wszystko jasne. Teraz chciałbym dla $keyword zastosować bindValue(), żeby mi jakiś życzliwy hakier nie próbował zrobić zastrzyku.
No i mam problem. Bo w miejsce '%$keyword%' nie mogę dać '%:keyword%'. I jestem w kropce (IMG:style_emoticons/default/tongue.gif) Mogę oczywiście dać PDO::quote() albo zwykłe addslashes() dla $keyword, ale jak już używam PDO::prepare(), to dobrze by było przy tym zostać w każdej funkcji modelu.


Pozdrawiam

Ten post edytował Piotrbaz 9.03.2013, 12:54:25

[Damonsson]

Ale może dać :keyword i bindować

'keyword' => '%'.$keyword.'%'

o ile dobrze zrozumiałem problem.

[Piotrbaz]

Hm nie bardzo wiem, gdzie umieścić taką 'konstrukcję'. Możesz rozwinąć razem z bindowaniem ? (IMG:style_emoticons/default/tongue.gif) Może być na ogólnym przykładzie.

[Damonsson]

To znaczy?

Jaką konstrukcję?

[PHP] pobierz, plaintext 
$sth = $dbh->prepare('SELECT * FROM fruit WHERE colour = :colour');
$sth->bindValue(':colour', '%'.$colour.'%');
$sth->execute();
[PHP] pobierz, plaintext 

Ten post edytował Damonsson 9.03.2013, 16:05:56

[Piotrbaz]

A spoko (IMG:style_emoticons/default/wink.gif) Nie wiedziałem, że mogę jako drugi argument bindValue() podać cokolwiek innego niż samą zmienną. I że mogę się odwołać do $keyword spoza foreach (IMG:style_emoticons/default/snitch.gif)

[PHP] pobierz, plaintext 
foreach($keywords_array as $key => $keyword){
$where .= "((ads_advertisement.title LIKE :keyword) OR (ads_advertisement.description LIKE :keyword) OR (ads_advertisement.content LIKE  :keyword))";
(...)
}
 
(...)
$result->bindValue(':keyword', '%'.$keyword.'%', PDO::PARAM_STR);
 
[PHP] pobierz, plaintext 

Seems legit. Dzięki.

Ten post edytował Piotrbaz 9.03.2013, 16:24:47