我有一个整数数组,如何在mysql查询中使用每一个(在php中)?

时间:2008-12-01 08:15:43

标签: php mysql arrays

我有一个充满随机内容项ID的数组。我需要运行一个mysql查询(数组中的id进入WHERE子句),使用数组中的每个ID,按照它们出现在所述数组中的顺序。我该怎么做?

对于数组中的每个ID,这将是一个UPDATE查询。

5 个答案:

答案 0 :(得分:33)

与几乎所有“我如何从PHP中执行SQL”问题一样 - 您真的应该使用预准备语句。这并不难:

$ids  = array(2, 4, 6, 8);

// prepare an SQL statement with a single parameter placeholder
$sql  = "UPDATE MyTable SET LastUpdated = GETDATE() WHERE id = ?";
$stmt = $mysqli->prepare($sql);

// bind a different value to the placeholder with each execution
for ($i = 0; $i < count($ids); $i++)
{
    $stmt->bind_param("i", $ids[$i]);
    $stmt->execute();
    echo "Updated record ID: $id\n";
}

// done
$stmt->close();

或者,你可以这样做:

$ids    = array(2, 4, 6, 8);

// prepare an SQL statement with multiple parameter placeholders
$params = implode(",", array_fill(0, count($ids), "?"));
$sql    = "UPDATE MyTable SET LastUpdated = GETDATE() WHERE id IN ($params)";
$stmt   = $mysqli->prepare($sql);

// dynamic call of mysqli_stmt::bind_param                    hard-coded eqivalent
$types = str_repeat("i", count($ids));                        // "iiii"
$args = array_merge(array($types), $ids);                     // ["iiii", 2, 4, 6, 8]
call_user_func_array(array($stmt, 'bind_param'), ref($args)); // $stmt->bind_param("iiii", 2, 4, 6, 8)

// execute the query for all input values in one step
$stmt->execute();

// done
$stmt->close();
echo "Updated record IDs: " . implode("," $ids) ."\n";

// ----------------------------------------------------------------------------------
// helper function to turn an array of values into an array of value references
// necessary because mysqli_stmt::bind_param needs value refereces for no good reason
function ref($arr) {
    $refs = array();
    foreach ($arr as $key => $val) $refs[$key] = &$arr[$key];
    return $refs;
}

根据需要为其他字段添加更多参数占位符。

选择哪一个?

  • 第一个变体迭代地使用可变数量的记录,多次命中数据库。这对UPDATE和INSERT操作最有用。

  • 第二种变体也适用于可变数量的记录,但它只能访问数据库一次。这比迭代方法更有效,显然你只能对所有受影响的记录做同样的事情。这对SELECT和DELETE操作最有用,或者当您想要使用相同数据更新多个记录时。

为何准备好陈述?

  • 准备好的语句更安全,因为它们不可能使SQL注入攻击。这是使用预准备语句的主要原因,即使编写它们的工作量更大。一个明智的习惯是:即使你认为“不是真的有必要”,也要使用准备好的陈述。忽视会来咬你(或你的客户)。
  • 使用不同参数值多次重复使用相同的预准备语句比将多个完整SQL字符串发送到数据库更有效,因为数据库只需要编译一次语句并且也可以重复使用它。
  • 只有参数值会在execute()上发送到数据库,因此重复使用时需要更少的数据。

在较长的循环中,使用预准备语句和发送纯SQL之间的执行时间差异将变得明显。

答案 1 :(得分:5)

使用“IN”条款

可能是你追求的目标

$ids = array(2,4,6,8);
$ids = implode($ids);
$sql="SELECT * FROM my_table WHERE id IN($ids);";
mysql_query($sql);

否则,

出了什么问题 
$ids = array(2,4,6,8);
foreach($ids as $id) {
    $sql="SELECT * FROM my_table WHERE ID = $id;";
    mysql_query($sql);
}

答案 2 :(得分:1)

阿门对Tomalak的陈述发表评论。

但是,如果你不想使用mysqli,你总是可以使用intval()来防止注入:

$ids  = array(2, 4, 6, 8);
for ($i = 0; $i < count($ids); $i++)
{
    mysql_query("UPDATE MyTable SET LastUpdated = GETDATE() WHERE id = " . intval($ids[$i]));
}

答案 3 :(得分:1)

$values_filtered = array_filter('is_int', $values);
if (count($values_filtered) == count($values)) {
    $sql = 'update table set attrib = 'something' where someid in (' . implode(',', $values_filtered) . ');';
    //execute
} else {
    //do something
}

答案 4 :(得分:0)

您可以执行以下操作,但是您需要非常小心,数组只包含整数,否则您最终可能会使用SQL注入。

如果可以提供帮助,你真的不想做多个查询来获取内容。这样的事情可能就是你所追求的。

foreach ($array as $key = $var) {
   if ((int) $var <= 0) {
       unset($array[$key]);
   }
}


$query = "SELECT * 
from content 
WHERE contentid IN ('".implode("','", $array)."')";

$result = mysql_query($query);
相关问题
最新问题