我正在尝试通过在构建查询之前运行一些逻辑操作来使我的PDO查询动态化。
然而,当查询当前构建时,没有返回结果,因为我引用的列名称在引号中包围(至少我认为这是问题),我将如何删除字符串周围的引号?
逻辑操作&查询
// Logical comparison
if($psiA >= $psiB){
$highestPsi = "high_psi";
} else {
$highestPsi = "flow_psi";
}
if($gpmA >= $gpmB){
$highestGpm = "high_gpm";
} else {
$highestGpm = "flow_gpm";
}
var_dump($highestGpm);
var_dump($highestPsi);
// Set up query variables
if( $pVal <= 0 && $gVal <= 0) {
$sql = "SELECT * FROM pumps WHERE pump_type = :pType AND :thePsi >= :pVal AND :theGpm >= :gVal AND pump_category = :cVal";
} else {
$sql = "SELECT * FROM pumps WHERE pump_type = :pType AND :thePsi >= :pVal AND :theGpm >= :gVal AND pump_category = :cVal";
var_dump($sql);
}
// Build and execute query
$stmt = $connection->prepare( $sql );
$stmt->bindParam(':pType', $pType, PDO::PARAM_STR);
$stmt->bindParam(':pVal', $pVal, PDO::PARAM_STR);
$stmt->bindParam(':gVal', $gVal, PDO::PARAM_STR);
$stmt->bindParam(':cVal', $cVal, PDO::PARAM_STR);
$stmt->bindParam(':thePsi', $highestPsi, PDO::PARAM_STR);
$stmt->bindParam(':theGpm', $highestGpm, PDO::PARAM_STR);
$stmt->execute(array(
'pType' => $pType,
'pVal' => $pVal,
'gVal' => $gVal,
'cVal' => $cVal,
'thePsi' => $highestPsi,
'theGpm' => $highestGpm
));
我知道转储正在返回正确的列名,我确信我需要执行某种正则表达式来删除引号以使其工作。
任何指针都会受到赞赏。
答案 0 :(得分:1)
PDO准备好的声明只能代表数据文字。因此,开发人员必须自己处理标识符 - PDO提供无需帮助。
因此,您必须使用任何其他库而不是PDO,例如safeMysql:
$sql = "SELECT * FROM pumps WHERE
pump_type = ?s AND ?n >= ?s AND ?n >= ?s AND pump_category = ?s";
$data = $db->getAll($sql, $pType, $highestPsi, $pVal, $highestGpm, $gVal, $cVal);
或者您必须手动格式化您的标识符。要格式化标识符,必须应用这两个规则:
在进行此类格式化之后,可以安全地将$ table变量插入到查询中。所以,代码将是:
$psi = "`".str_replace("`","``",$highestPsi)."`";
$sql = "SELECT * FROM pumps WHERE pump_type = :pType AND $psi ...";
答案 1 :(得分:0)
不,引用并不是真正的问题。问题是您无法绑定任何结构元素,如列名或表名。您只能绑定值。如果需要动态更改列名,则必须使用好的旧字符串连接/ sprintf。