我的网站范围相当广泛,最近我刚切换到PHP5(称我为后期开发者)。
我之前所有的MySQL查询都是这样构建的:
"SELECT * FROM tablename WHERE field1 = 'value' && field2 = 'value2'";
这使得它非常容易,简单和友好。
由于明显的安全性原因,我现在正尝试切换到mysqli,并且在bind_param需要特定参数时很难弄清楚如何实现相同的SELECT * FROM查询。
这句话已成为过去吗?
如果是的话,如何处理涉及大量列的查询? 我真的需要每次都把它们全部打出来吗?
这已经是一个月前了,但是哦。
我可能是错的,但是对于您的问题,我感到bindparam并不是这里的真正问题。您始终需要使用bindparam设置?占位符的条件,直接在查询字符串中定义。那不是真正的问题。
我使用MySQLi SELECT *查询时遇到的问题是bind_result部分。那就是它变得有趣的地方。我从Jeffrey Way那里看到了这篇文章:http://jeff-way.com/2009/05/27/tricky-prepared-statements/(此链接不再有效)。该脚本基本上遍历结果并将其作为数组返回-无需知道有多少列,您仍然可以使用准备好的语句。
在这种情况下,它将看起来像这样:
$stmt = $mysqli->prepare(
'SELECT * FROM tablename WHERE field1 = ? AND field2 = ?');
$stmt->bind_param('ss', $value, $value2);
$stmt->execute();
然后使用网站中的代码段:
$meta = $stmt->result_metadata();
while ($field = $meta->fetch_field()) {
$parameters[] = &$row[$field->name];
}
call_user_func_array(array($stmt, 'bind_result'), $parameters);
while ($stmt->fetch()) {
foreach($row as $key => $val) {
$x[$key] = $val;
}
$results[] = $x;
}
现在,$results包含来自SELECT *的所有信息。到目前为止,我发现这是一个理想的解决方案。
太好了,谢谢@Alec!我为自己苦苦挣扎的一些小东西:如果您还想将null值传递给bind_result,则需要在查询中使用null安全的<=>运算符,例如SELECT * FROM tablename WHERE field1 <=> ? AND field2 <=> ?。请参阅<=>运算符上的MySQL文档。
"SELECT * FROM tablename WHERE field1 = 'value' && field2 = 'value2'";
变成
"SELECT * FROM tablename WHERE field1 = ? && field2 = ?";
传递给$mysqli::prepare的内容:
$stmt = $mysqli->prepare(
"SELECT * FROM tablename WHERE field1 = ? && field2 = ?");
$stmt->bind_param("ss", $value, $value2);
//"ss' is a format string, each"s" means string
$stmt->execute();
$stmt->bind_result($col1, $col2);
// then fetch and close the statement
OP评论:
so if i have 5 parameters, i could potentially have"sssis" or something (depending on the types of inputs?)
正确,在准备好的语句中,每个?参数都有一个类型说明符,它们都在位置上(第一个说明符适用于第一个?,该第一个说明符适用于第一个实际参数(这是bind_param的第二个参数))。
mysqli将负责转义和引用(我认为)。
因此,如果我有5个参数,则可能会有" sssis"之类的东西(取决于输入的类型?)
切换时,切换到PDO而不是mysqli,它可以帮助您编写数据库不可知代码,并为准备好的语句提供更好的功能。
http://www.php.net/pdo
PDO的Bindparam:
http://se.php.net/manual/en/pdostatement.bindparam.php
$sth = $dbh->prepare("SELECT * FROM tablename WHERE field1 = :value1 && field2 = :value2");
$sth->bindParam(':value1', 'foo');
$sth->bindParam(':value2', 'bar');
$sth->execute();
要么:
$sth = $dbh->prepare("SELECT * FROM tablename WHERE field1 = ? && field2 = ?");
$sth->bindParam(1, 'foo');
$sth->bindParam(2, 'bar');
$sth->execute();
或使用参数作为数组执行:
$sth = $dbh->prepare("SELECT * FROM tablename WHERE field1 = :value1 && field2 = :value2");
$sth->execute(array(':value1' => 'foo' , ':value2' => 'bar'));
如果您希望将来您的应用程序能够在不同的数据库上运行,则对您来说将更加容易。
我还认为,在与PDO一起工作时,您应该花一些时间使用Zend Framwework的某些类。查看他们的Zend_Db,更具体地说是[Zend_Db_Factory] ??[2]。您不必使用所有框架,也不必将应用程序转换为MVC模式,但是使用框架并仔细阅读它会花费很多时间。
太棒了,我从没听说过PDO,请检查一下
Is this statement a thing of the past?
是。不要使用SELECT *;这是一场维护噩梦。 SO上还有许多其他线程,说明为什么此构造不好,以及如何避免使用它会帮助您编写更好的查询。
也可以看看:
不使用select *的原因是什么?
使用SELECT *时的性能问题?
为什么使用*建立视图不好?
好的...我完全相信您,但是我无法以某种方式找到他们,我可以肯定地向他们学习。 coudl,你给我链接吗?谢谢:)
我认为问题在于绑定变量。我认为" SELECT *"没什么大问题(如果您需要的不仅仅是主键或其他索引列)。
是的,搜索引擎不喜欢查询" SELECT *"。我用几个链接编辑了帖子(第一个链接特别有用)。
您可以在语句中使用get_result()。
http://php.net/manual/zh/mysqli-stmt.get-result.php
您仍然可以使用它(mysqli只是与服务器通信的另一种方式,SQL语言本身已扩展,未更改)。不过,准备好的语句更安全-因为您无需每次都正确地转义值的麻烦。如果愿意,可以保留它们的原样,但是如果切换,则可以减少sql搭载的风险。
有时您甚至需要旧的用法。例如,MySQL无法在准备好的语句中进行多次插入。
它不能吗?这不是大多数人需要做的事情吗?
不,它不能执行将INSERT INTO A(a,b)值(1,2),(3,4),(5,6)之类的操作。并且,如果(并且仅)在速度上是一个问题(在99%的情况下不应该这样-但是我们在最近的项目中只有一个),请考虑以下情况:prepared语句需要1个查询进行3次通信(prepare,set var,execute )
我一直在寻找一个很好的完整示例,该示例如何将多个查询参数动态绑定到任何SELECT,INSERT,UPDATE和DELETE查询。 Alec在他的回答中提到了一种如何绑定结果的方法,对我来说,执行SELECT查询的execute()函数之后的get_result()很好,并且能够将所有选定的结果检索到关联数组的数组中。
无论如何,我最终创建了一个函数,可以将任意数量的参数动态绑定到参数化查询(使用call_user_func_array函数)并获得查询执行的结果。下面是该函数及其文档(使用前请先阅读-特别是$ paremetersTypes-类型规范chars参数对于理解非常重要)
/**
* Prepares and executes a parametrized QUERY (SELECT, INSERT, UPDATE, DELETE)
*
* @param[in] $dbConnection mysqli database connection to be used for query execution
* @param[in] $dbQuery parametrized query to be bind parameters for and then execute
* @param[in] $isDMQ boolean value, should be set to TRUE for (DELETE, INSERT, UPDATE - Data manipulaiton queries), FALSE for SELECT queries
* @param[in] $paremetersTypes String representation for input parametrs' types as per http://php.net/manual/en/mysqli-stmt.bind-param.php
* @param[in] $errorOut A variable to be passed by reference where a string representation of an error will be present if a FAUILURE occurs
* @param[in] $arrayOfParemetersToBind Parameters to be bind to the parametrized query, parameters need to be specified in an array in the correct order
* @return array of feched records associative arrays for SELECT query on SUCCESS, TRUE for INSERT, UPDATE, DELETE queries on SUCCESS, on FAIL sets the error and returns NULL
*/
function ExecuteMySQLParametrizedQuery($dbConnection, $dbQuery, $isDMQ, $paremetersTypes, &$errorOut, $arrayOfParemetersToBind)
{
$stmt = $dbConnection->prepare($dbQuery);
$outValue = NULL;
if ($stmt === FALSE)
$errorOut = 'Failed to prepare statement for query: ' . $dbQuery;
else if ( call_user_func_array(array($stmt,"bind_param"), array_merge(array($paremetersTypes), $arrayOfParemetersToBind)) === FALSE)
$errorOut = 'Failed to bind required parameters to query: ' . $dbQuery . ' , parameters :' . json_encode($arrayOfParemetersToBind);
else if (!$stmt->execute())
$errorOut ="Failed to execute query [$dbQuery] , erorr:" . $stmt->error;
else
{
if ($isDMQ)
$outValue = TRUE;
else
{
$result = $stmt->get_result();
if ($result === FALSE)
$errorOut = 'Failed to obtain result from statement for query ' . $dbQuery;
else
$outValue = $result->fetch_all(MYSQLI_ASSOC);
}
}
$stmt->close();
return $outValue;
}
用法:
$param1 ="128989";
$param2 ="some passcode";
$insertQuery ="INSERT INTO Cards (Serial, UserPin) VALUES (?, ?)";
$rowsInserted = ExecuteMySQLParametrizedQuery($dbConnection, $insertQuery, TRUE, 'ss', $errorOut, array(&$param1, &$param2) ); // Make sure the parameters in an array are passed by reference
if ($rowsInserted === NULL)
echo 'error ' . $errorOut;
else
echo"successfully inserted row";
$selectQuery ="SELECT CardID FROM Cards WHERE Serial like ? AND UserPin like ?";
$arrayOfCardIDs = ExecuteMySQLParametrizedQuery($dbConnection, $selectQuery, FALSE, 'ss', $errorOut, array(&$param1, &$param2) ); // Make sure the parameters in an array are passed by reference
if ($arrayOfCardIDs === NULL)
echo 'error ' . $errorOut;
else
{
echo 'obtained result array of ' . count($arrayOfCardIDs) . 'selected rows';
if (count($arrayOfCardIDs) > 0)
echo 'obtained card id = ' . $arrayOfCardIDs[0]['CardID'];
}
将错误消息作为函数参数只是一件奇怪的事情。错误应该是错误。 php.net/manual/en/function.trigger-error.php
$ isDMQ和$ paremetersTypes应该是可选的
感谢您的评论-已修改为使用fetch_all()函数。我了解这种实现并不完美,请随时根据需要编辑功能。就可选参数而言-正如函数名所指示的那样,其目的是仅执行参数化查询(对于非参数化查询,无需使用此功能)。