[PDO i Class] zapytanie select z parametrem Opcje

[molik]

Na wstępie witam wszystkich bardzo serdecznie!

Jestem początkujący jeśli chodzi o obiektówkę, dlatego też proszę o wyrozumiałość...
Mój problem polega na zapytaniu select z parametrem... Oczywiście wiem, że nie nie powinno tak wyglądać, ale próbuje już wszystkiego..

Zapytanie SELECT powinno wyglądać tak:

[PHP] pobierz, plaintext 
 
$sql = 'SELECT * FROM nazwa_tabeli';
$result = $pdo->query(sql);
 
[PHP] pobierz, plaintext 

Tyle wiem, ale co jeżeli chcę wprowadzić do niej parametr i nie wpisywać go bezpośrednio gdyż istnieje zagrożenie SQL Injection... ale już naprawdę nie mam na to pomysłu.. może Wy mi w tym pomożecie..
Wymyśliłem sobie oto taki zapis (konkretnie chodzi o metodę checkIfIsset()):

[PHP] pobierz, plaintext 
$sql = 'SELECT nrComp FROM 08925902_k1.employers WHERE nrComp = :nrComp';
$s = $pdo->prepare($sql);
$s->bindValue(':nrComp', $this->nrComp);
$s->execute();		
$this->employers = count($s);
[PHP] pobierz, plaintext 

Jak widać nie działa... bardzo Was proszę o pomoc...

Oto cały kod klasy:

[PHP] pobierz, plaintext 
<?php 
 
class RegisterEmployer{
	public $nrComp;
	public $firstName;
	public $lastName;
	public $password;
	public $employers;
 
	public function __construct($nrComp, $firstName, $lastName, $password){
		$this->nrComp 		= $nrComp;
		$this->firstName 	= $firstName;
		$this->lastName 	= $lastName;
		$this->password 	= $password;
	}
 
	public function wypiszDane(){
		echo '<p class="bg-info">'
		.$this->nrComp.'<br>'	
		.$this->firstName.'<br>'	
		.$this->lastName.'<br>'	
		.$this->password.	
		'</p>';
	}
 
	public function registerEmployer(){
 
		self::checkIfIsset();
 
                if($this->employers > 0){
		        echo '<p class="bg-warning">Taki numer komputerowy już istnieje w bazie danych.</p>';
		 	exit();
		 }else{
		 	try {
		 		include 'inc/database.php';
		 		$sql = 'INSERT INTO 08925902.employers SET 
		 			nrComp = :nrComp,
		 			firstName = :firstName,
		 			lastName = :lastName,
		 			password = :password
		 		';
		 		$s = $pdo->prepare($sql);
		 		$s->bindValue(':nrComp', $this->nrComp);
		 		$s->bindValue(':firstName', $this->firstName);
		 		$s->bindValue(':lastName', $this->lastName);
		 		$s->bindValue(':password', SHA1($this->password));
		 		$s->execute();
		 	} catch (PDOException $e) {
		 		echo '<p class="bg-warning">'.$e->getMessage() .'<br>'.$e->getLine().'</p>';
		 		exit();
		 	}
		 	echo '<p class="bg-success">Dodano użytkownika do bazy danych.</p>';
		 }
 
	}
 
	public function checkIfIsset(){
		try {
			include 'inc/database.php';
			$sql = 'SELECT nrComp FROM 08925902.employers WHERE nrComp = :nrComp';
			$s = $pdo->prepare($sql);
			$s->bindValue(':nrComp', $this->nrComp);
			$s->execute();		
			$this->employers = count($s);
		} catch (PDOException $e) {
			echo '<p class="bg-warning">'.$e->getMessage() .'<br>'.$e->getLine().'</p>';
			exit();
		}
 
	}
}
 
 ?>
[PHP] pobierz, plaintext 

kod uruchomienia:

[PHP] pobierz, plaintext 
<?php 
if(isset($_POST['addEmployer'])){
	echo '<p class="bg-info">Przejdź do procedury dodawania pracownika.</p>';
 
	$employer = new RegisterEmployer($_POST['nrComp'], $_POST['employerFirstName'], $_POST['employerLastName'], $_POST['employerPass']);
	$employer->registerEmployer();
}else{
	include 'sites/form_registerEmployer.php';
	exit();
}
 
 
?>
[PHP] pobierz, plaintext 

Ten post edytował molik 4.04.2017, 02:03:33

[Tomplus]

Ty łączysz się z bazą danych za każdym razem wywołując metodę i to 2 razy?
include 'inc/database.php';


Próbowałeś SELECT nrComp FROM 08925902_k1.employers WHERE nrComp = :nrComp
wkleić bezpośrednio w konsoli MySQL aby sprawdzić czy masz wynik, tylko zastępując :nrComp wartością

[viking]

Jak już to count($s->fetchAll()) chociaż lepiej było by zapytanie z COUNT(*) wysłać.
Cała klasa większego sensu nie ma.

[molik]

Ty łączysz się z bazą danych za każdym razem wywołując metodę i to 2 razy?
include 'inc/database.php';

includa ogarnę sobie, jak już wcześniej pisałem staram się wszystkiego już próbować co mi tylko wpadnie do głowy..

Próbowałeś SELECT nrComp FROM 08925902_k1.employers WHERE nrComp = :nrComp
wkleić bezpośrednio w konsoli MySQL aby sprawdzić czy masz wynik, tylko zastępując :nrComp wartością

Po podstawieniu danych na sztywno - zapytanie działa..

[nospor]

Nigdzie nie odbierasz wynikow SELECT.... viking juz ci napisal co masz zrobic

[molik]

Nigdzie nie odbierasz wynikow SELECT.... viking juz ci napisal co masz zrobic

Widzę, widzę, ale po kolei odpisuje na posty.

Koledzy, ale dalej nie wiem, czy taki zapis jeśli chodzi o parametr i późnieje preparowanie.. Po prostu jak dokonać zapisu zapytanie do mysql jeśli w zapytaniu chcemy umieścić zmienną członkowską, ale w taki sposób aby nie narazić się na sql injection? Czy można to zrobić w taki sposób jak poniżej? Jeśli nie to napiszcie mi jak to zrobić./

[PHP] pobierz, plaintext 
$sql = 'SELECT nrComp FROM 08925902.employers WHERE nrComp = :nrComp';
$s = $pdo->prepare($sql);
$s->bindValue(':nrComp', $this->nrComp);
$s->execute();
[PHP] pobierz, plaintext 

Ten post edytował molik 4.04.2017, 13:31:06

[nospor]

Sposob przypisania zmiennej jest poprawny. Skad pomysl ze jest inaczej?

[viking]

Kod wyżej jest ok. Jedyne co to można by przekazać jako parametr do funkcji ten numer id.
Później jak zaczniesz poprawiać klasę to wyrzuć wszystkie echo bo za to powinna odpowiadać oddzielna warstwa widoku. Poczytaj też o wstrzykiwaniu zależności (chodzi o adapter bazy danych w tym konkretnym przykładzie).