使用PDO将大量变量插入表中

时间:2012-11-11 16:20:48

标签: php mysql pdo

我有一个包含大约25个输入字段的大表单。

我试图将它们插入我的表格中,这是我知道如何使用以下内容的唯一方法......

$count = $dbh->exec("INSERT INTO directory(field1, field2) VALUES (':value1', ':value2')");

由于我有很多帖子变量,有没有更好的方法来做到这一点,而不是在查询中键入每个人和每个人?

2 个答案:

答案 0 :(得分:4)

动态准备查询

您可以从$ _POST数组动态构建查询:

但是,永远不要信任用户输入,这意味着你不能相信$ _POST中的数据将包含有效的列名。

<强> 1。清理帖子数据

您可以定义列入白名单的列名$whitelist = array('field1', 'field2', ...)的数组,然后使用:

$data = array_intersect_key($_POST, array_flip($whitelist));

找到列入白名单的列与$ _POST数组之间的交集。 (谢谢@BillKarwin)

<强> 2。构建查询

private function buildInsertSql($data, $table) {
    $columns = "";  
    $holders = "";  
    foreach ($data as $column => $value) {  
       $columns .= ($columns == "") ? "" : ", ";  
       $columns .= $column;  
       $holders .= ($holders == "") ? "" : ", ";  
       $holders .= ":$column";  
    }  
    $sql = "INSERT INTO $table ($columns) VALUES ($holders)";  
    return $sql; 
}

这将为您提供以下形式的SQL语句:

$sql = INSERT INTO directory (field1, field2) VALUES (:field1, :field2)

并准备声明:

$stmt = $dbh->prepare($sql);

第3。绑定参数

然后,您可以将参数动态绑定到占位符:

foreach ($data as $placeholder => $value) {
    $stmt->bindValue(":$placeholder", $value);
 }

并执行它:

$stmt->execute();

更高级......

答案 1 :(得分:3)

您可以动态构建INSERT语句,但是您应该注意限制POST字段。不要相信请求只包含有效列。

还分隔表和列标识符。默认情况下,MySQL使用反向标记作为标识符分隔符。

function execInsert($pdo, $table, $_POST) {
    // get a list of columns in $table, either by hard-coding them per table, 
    // or by querying DESC or INFORMATION_SCHEMA
    $real_columns = array('col1', 'col2', 'col3');

    $fields = array_intersect_key($_POST, array_flip($real_columns));
    if (!$fields) {
        // no POST fields match the real columns
        return false;
    }

    $columns = array_map(function($col) { return "`".$col."`"; }, array_keys($fields));
    $holders = array_map(function($col) { return ":".$col; }, array_keys($fields));
    $values = $fields;

    $sql = "INSERT INTO `$table` (" . join(",", $columns) . 
        " VALUES (" . join(",", $holders) . ")";  

    if (($stmt = $pdo->prepare($sql)) === false) {
        die(print_r($pdo->errorInfo(), true));
    }
    if (($retval = $stmt->execute($values)) === false) {
        die (print_r($stmt->errorInfo(), true));
    }
    return $retval;
}