我有一个名为$ items的数组,如下所示:
array (
0 => '{"id":"1", "qty":"1", "price":"12.51"}',
1 => '{"id":"2", "qty":"2", "price":"25.02"}',
)
我正在尝试构建一个mySQL INSERT语句,其中包含$ items中的数据,如下所示:
$sql = 'INSERT INTO vals (id, items, timestamp)
VALUES (' . $id . ', "' . json_encode($items) . '", "' . date('Y-m-d H:i:s') . '")';
然而,由于json_encode()在数组元素周围添加双引号,INSERT进入mySQL失败:
INSERT INTO
vals
(
id,
items,
timestamp
)
VALUES
(
1,
"[
"{\"id\":\"1\", \"qty\":\"1\", \"price\":\"12.51\"}",
"{\"id\":\"2\", \"qty\":\"2\", \"price\":\"25.02\"}"
]",
"2015-11-26 20:31:02"
)
这是大括号“{... data ...}”之前/之后的双引号问题。
有没有办法将Array转换为一个可以消除这些额外引号的String?
非常感谢任何指导!
从下面的例子中,我正在尝试使用mysqli预处理语句。
我正在执行以下操作:
$stmt->bind_param("i", (int) $id)
我收到此错误:
ERROR: exception 'Symfony\Component\Debug\Exception\FatalErrorException'
with message 'Call to a member function bind_param() on a non-object'
执行以下操作时没有出错:
$stmt = $mysqli->prepare($sql)
所以我认为$ stmt应该可以调用bind_param()。
我查看了PHP文档,并且不相信我需要用$ stmt做任何其他事情。有没有人看到我失踪的东西?
答案 0 :(得分:3)
您需要转义json_encode'd字符串以在查询中使用,或者使用预准备语句并将值绑定到参数。
实际上需要围绕各个数组项的引号,因为您的单个数组项实际上是字符串......所以您只需要逃避整个值......
所以:
$sql = 'INSERT INTO vals (id, items, timestamp)
VALUES (' . $id . ', "' . mysql_real_escape_string(json_encode($items)) . '", "' . date('Y-m-d H:i:s') . '")';
或更好的方法:
$json = json_encode($items);
$sql = 'INSERT INTO vals (id, items, timestamp) VALUES (?, ?, ?)';
/* Prepared statement, stage 1: prepare */
if (!($stmt = $mysqli->prepare($sql))) {
echo "Prepare failed: (" . $mysqli->errno . ") " . $mysqli->error;
}
/* Prepared statement, stage 2: bind and execute */
if (!$stmt->bind_param("i", $id)) {
echo "Binding parameters failed: (" . $stmt->errno . ") " . $stmt->error;
}
if (!$stmt->bind_param("s", $json)) {
echo "Binding parameters failed: (" . $stmt->errno . ") " . $stmt->error;
}
if (!$stmt->bind_param("s", date('Y-m-d H:i:s'))) {
echo "Binding parameters failed: (" . $stmt->errno . ") " . $stmt->error;
}
if (!$stmt->execute()) {
echo "Execute failed: (" . $stmt->errno . ") " . $stmt->error;
}
修改
另外,@ JoshJ对你的值是正确的JSON字符串是正确的...重新编码一个Json字符串将双重逃避一切。如果这不是您的预期用途(即将值检索为字符串),那么您应该尝试使用以下方法将每个字符串解码为关联数组:
foreach ($items as $key => $item) {
$items[$key] = json_decode($item, true);
}
这将为您提供$ items值:
[
0 => [
"id" => "1",
"qty" => "1",
"price" => :"12.51"
],
1 => [
"id" => "2",
"qty" => "2",
"price" => "25.02"
]
]
当然还有其他选项可以将数字字符串s作为输出中的数字处理,您可能还需要调查...
请参阅:http://php.net/manual/en/function.json-decode.php
编辑2
在Symfony中,您可能需要使用PDO bindParam()函数语法。
$sql = 'INSERT INTO vals (id, items, timestamp) VALUES (:id, :items, :datetime)';
$stmt = $pdoconnection->prepare($sql);
$stmt->bindParam(':id', $id);
etc...
请参阅:http://php.net/manual/en/pdostatement.bindparam.php和http://php.net/manual/en/class.pdostatement.php
答案 1 :(得分:0)
请注意,从PHP 5.3.3开始,有一个自动转换数字的标志,而自PHP 5.3.0起添加了options参数:
$arr = array( 'row_id' => '1', 'name' => 'George' );
echo json_encode( $arr, JSON_NUMERIC_CHECK ); // {"row_id":1,"name":"George"}
答案 2 :(得分:0)
最简单,最安全的答案是切换到预备语句。可以在here
找到相关文档如果这对您不起作用,您可以使用简单的内置方法来转义字符。
如果您使用的是 MYSQL ,则可以使用mysql_real_escape_string函数 - 它会转义字符串中的特殊字符,以便在SQL语句中使用。
请注意,因为此扩展(MYSQL)在PHP 5.5.0中已弃用,并且已在PHP 7.0.0中删除。
MYSQLi ,请使用mysqli::real_escape_string
你的scenarial的一个用例,我假设你使用的是mysql扩展名:
$sql = 'INSERT INTO vals (id, items, timestamp) VALUES (' . $id . ', "' .mysql_real_escape_string(json_encode($items)). '", "' . date('Y-m-d H:i:s') . '")';
您甚至可以使用php的 addslaches()函数记录here。它的作用是: 在需要转义的字符之前返回带有反斜杠的字符串。这些字符是单引号('),双引号("),反斜杠()和NUL(NULL字节) )。