我喜欢Dynamic SQL的灵活性,我喜欢Prepared Statements的安全性改进性能.所以我真正想要的是动态准备语句,这很麻烦,因为bind_param和bind_result接受“固定”数量的参数.所以我使用了一个eval()语句来解决这个问题.但我觉得这是一个坏主意.这是我的意思的示例代码
// array of WHERE conditions $param = array('customer_id'=>1,'qty'=>'2'); $stmt = $mysqli->stmt_init(); $types = ''; $bindParam = array(); $where = ''; $count = 0; // build the dynamic sql and param bind conditions foreach($param as $key=>$val) { $types .= 'i'; $bindParam[] = '$p'.$count.'=$param["'.$key.'"]'; $where .= "$key = ? AND "; $count++; } // prepare the query -- SELECT * FROM t1 WHERE customer_id = ? AND qty = ? $sql = "SELECT * FROM t1 WHERE ".substr($where,strlen($where)-4); $stmt->prepare($sql); // assemble the bind_param command $command = '$stmt->bind_param($types,'.implode(',',$bindParam).');'; // evaluate the command -- $stmt->bind_param($types,$p0=$param["customer_id"],$p1=$param["qty"]); eval($command);
最后一个eval()语句是个坏主意吗?我试图通过在变量名$param后面封装值来避免代码注入.
有没有人有意见或建议?我需要注意哪些问题?
我认为在这里使用eval()是危险的.
试试这个:
>迭代params数组以构建带有问号的SELECT字符串“SELECT * FROM t1 WHERE p1 =?AND p2 =?”
>调用prepare()就可以了
>使用call_user_func_array()调用bind_param(),传入动态params数组.
代码:
call_user_func_array(array($stmt,'bind_param'),array($types)+$param);
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。