使用for循环构建db查询

时间:2014-01-26 20:11:38

标签: php pdo sql-update

我已经创建了一个查询数据库的函数。这个函数接受一个数组,即我想要更新的用户的id 和查询操作。

如果查询操作是UPDATE

如果你看下面的代码,这是一个很好的编码实践还是这个错误的代码?

public function query($column, $search_value, $query_operation = "SELECT"){

if(strtoupper($query_operation == "UPDATE")){
                    $query = "UPDATE users SET ";

                    if(is_array($column)){
                        $counter = 1;
                        foreach($column as $key => $value){

                            if($counter < count($column)){
                                $query .= $key . ' = ?, ';
                            }else{
                                $query .= $key . ' = ? ';
                            }

                            $counter++;
                        }

                        $query .= "WHERE id = ?";

                        $stmt = $this->database->prepare($query);
                        $counter = 1;
                        foreach($column as $key => &$value){
                             $stmt->bindParam($counter, $value);
                            $counter++;
                        }

                        $stmt->bindParam($counter, $search_value);

                        if($stmt->execute()){
                            $stmt = $this->database->prepare("SELECT* FROM         
                                                            users WHERE id = ?");
                            $stmt->bindParam(1, $search_value, PDO::PARAM_INT);
                            $stmt->execute();
                            return $this->build_array($stmt);
                        }

                    }
                }
}

很想听到一些反馈。

1 个答案:

答案 0 :(得分:1)

我会在同一个函数中混合 SELECT UPDATE

以下更新函数使用数组作为列名称和值$columnNames&amp; $values使用未命名的参数。

function update($tableName,$columnNames,$values,$fieldName,$fieldValue){
    $sql = "UPDATE `$tableName` SET ";
    foreach($columnNames as $field){
        $sql .= $field ." = ?,";
    }
    $sql = substr($sql, 0, -1);//remove trailing ,
    $sql .= " WHERE `$fieldName` = ?";
    return $sql;
  }

由于表格和列名称不能作为PDO中的参数传递,我已经演示了表名称的白名单。

$tables = array("client", "Table1", "Table2");// Array of allowed table names.

同样array_push()将最后一个参数(WHERE)的值添加到$ values数组

使用

if (in_array($tableName, $tables))   {
    $sql = update($tableName,$columnNames,$values,$fieldName,$fieldValue);
    array_push($values,$fieldValue);
    $STH = $DBH->prepare($sql);
    $STH->execute($values);
    }

您可以对 SELECT

使用类似的技巧