Php 在MySQLi中选择*FROM
我的网站相当广泛,我最近刚切换到PHP5(叫我晚熟) 我之前的所有MySQL查询都是这样构建的:Php 在MySQLi中选择*FROM,php,mysqli,Php,Mysqli,我的网站相当广泛,我最近刚切换到PHP5(叫我晚熟) 我之前的所有MySQL查询都是这样构建的: "SELECT * FROM tablename WHERE field1 = 'value' && field2 = 'value2'"; 这使它变得非常容易、简单和友好 出于明显的安全原因,我现在正试图切换到mysqli,我很难弄清楚当bind_参数需要特定参数时,如何实现相同的SELECT*FROM查询 这句话已经过时了吗 如果是,我如何处理涉及大量列的查询?我真的需要每次都
"SELECT * FROM tablename WHERE field1 = 'value' && field2 = 'value2'";
这使它变得非常容易、简单和友好
出于明显的安全原因,我现在正试图切换到mysqli,我很难弄清楚当bind_参数
需要特定参数时,如何实现相同的SELECT*FROM
查询
这句话已经过时了吗
如果是,我如何处理涉及大量列的查询?我真的需要每次都把它们打出来吗
这句话已经过时了吗
对。不要使用选择*
;这是一场维护噩梦。关于为什么这个构造不好,以及避免它将如何帮助您编写更好的查询,还有很多其他的线程
另见:
- 您仍然可以使用它(mysqli只是与服务器通信的另一种方式,SQL语言本身是扩展的,而不是更改的)。但是更安全——因为你不需要每次都正确地逃避你的价值观。如果愿意,您可以让它们保持原样,但如果您切换,sql搭载的风险会降低
"SELECT * FROM tablename WHERE field1 = 'value' && field2 = 'value2'";
变成
"SELECT * FROM tablename WHERE field1 = ? && field2 = ?";
它被传递到$mysqli::prepare
:
$stmt = $mysqli->prepare(
"SELECT * FROM tablename WHERE field1 = ? && field2 = ?");
$stmt->bind_param( "ss", $value, $value2);
// "ss' is a format string, each "s" means string
$stmt->execute();
$stmt->bind_result($col1, $col2);
// then fetch and close the statement
OP评论:
因此,如果我有5个参数,我可能有“sssis”之类的(取决于输入的类型?) 右,在准备好的语句中,每个
?
参数有一个类型说明符,所有类型说明符都是位置的(第一个说明符应用于第一个?
,第一个实际参数替换为第一个实际参数(这是绑定参数
的第二个参数)
mysqli将负责转义和引用(我想) 切换时,请切换到PDO而不是mysqli,它可以帮助您编写与数据库无关的代码,并为准备好的语句提供更好的功能 PDO的Bindparam: 或: 或将参数作为数组执行:
$sth = $dbh->prepare("SELECT * FROM tablename WHERE field1 = :value1 && field2 = :value2");
$sth->execute(array(':value1' => 'foo' , ':value2' => 'bar'));
如果您希望您的应用程序将来能够在不同的数据库上运行,那么这将更容易
我还认为,在与PDO合作时,您应该投入一些时间使用Zend Framwork的一些课程。查看他们的产品,更具体地说是[Zend_Db_Factory][2]。您不必使用所有的框架或将应用程序转换为MVC模式,但使用框架并阅读它是一段很好的时间。这已经是一个月前的事了,但是很好 我可能是错的,但是对于你的问题,我觉得
bind_param
并不是这里真正的问题。您总是需要定义一些条件,可以直接在查询字符串本身中使用bind_param
来设置?
占位符。这不是一个真正的问题
我在使用MySQLiSELECT*
查询时遇到的问题是bind\u结果部分。这就是它变得有趣的地方。我从Jeffrey Way那里看到了这篇文章:(这个链接不再活跃)。该脚本基本上循环遍历结果并将其作为数组返回——不需要知道有多少列,而且您仍然可以使用准备好的语句
在这种情况下,它看起来像这样:
$stmt = $mysqli->prepare(
'SELECT * FROM tablename WHERE field1 = ? AND field2 = ?');
$stmt->bind_param('ss', $value, $value2);
$stmt->execute();
然后使用站点中的代码段:
$meta = $stmt->result_metadata();
while ($field = $meta->fetch_field()) {
$parameters[] = &$row[$field->name];
}
call_user_func_array(array($stmt, 'bind_result'), $parameters);
while ($stmt->fetch()) {
foreach($row as $key => $val) {
$x[$key] = $val;
}
$results[] = $x;
}
而$results
现在包含SELECT*
中的所有信息。到目前为止,我发现这是一个理想的解决方案。我正在寻找一个好的、完整的示例,说明如何将多个查询参数动态绑定到任何SELECT、INSERT、UPDATE和DELETE查询。在他的回答中提到了一种如何绑定结果的方法,对我来说,用于选择查询的get_result()after execute()函数工作得很好,我能够将所有选择的结果检索到一个关联数组中
无论如何,我最终创建了一个函数,在这个函数中,我可以将任意数量的参数动态绑定到参数化查询(使用call_user_func_数组函数),并获得查询执行的结果。下面是函数及其文档(使用前请先阅读,尤其是参数需要理解)
用法:
$param1 = "128989";
$param2 = "some passcode";
$insertQuery = "INSERT INTO Cards (Serial, UserPin) VALUES (?, ?)";
$rowsInserted = ExecuteMySQLParametrizedQuery($dbConnection, $insertQuery, TRUE, 'ss', $errorOut, array(&$param1, &$param2) ); // Make sure the parameters in an array are passed by reference
if ($rowsInserted === NULL)
echo 'error ' . $errorOut;
else
echo "successfully inserted row";
$selectQuery = "SELECT CardID FROM Cards WHERE Serial like ? AND UserPin like ?";
$arrayOfCardIDs = ExecuteMySQLParametrizedQuery($dbConnection, $selectQuery, FALSE, 'ss', $errorOut, array(&$param1, &$param2) ); // Make sure the parameters in an array are passed by reference
if ($arrayOfCardIDs === NULL)
echo 'error ' . $errorOut;
else
{
echo 'obtained result array of ' . count($arrayOfCardIDs) . 'selected rows';
if (count($arrayOfCardIDs) > 0)
echo 'obtained card id = ' . $arrayOfCardIDs[0]['CardID'];
}
您可以对语句使用get\u result()
有时你甚至需要旧用法。例如,Mysql不能在一个准备好的语句中进行多次插入。它不能吗?这不是大多数人需要做的事情吗?不,它不能像插入A(A,b)值(1,2)、(3,4)、(5,6)那样做。如果(而且只有)速度是一个问题(不应该在99%的情况下——但我们只是在最近的项目中有一个),考虑一下:准备好的语句需要3个通信来进行1个查询(准备,设置var,执行)……我完全相信你,但是我在某种程度上找到了它们,我可以从他们那里学习。你能给我一个链接吗?谢谢:)我想问题是关于绑定变量的。我认为“SELECT*(如果您需要的不仅仅是主键或其他索引列)没有什么大问题。是的,搜索引擎不太喜欢查询“SELECT*”;我用几个链接编辑了我的文章(第一个链接特别有用)。因此,如果我有5个参数,我可能会有“sssis”或什么(取决于输入的类型?)太棒了,我从来没有听说过PDO,我会检查它的外部错误消息,因为函数参数只是一个奇怪的事情。错误应该是错误$isDMQ和$paremetersTypes应该是可选的。感谢您的评论-编辑后使用fetch_all()函数。我知道这个实现并不完美,请根据您的需要自由编辑函数。就可选参数而言——正如函数名所示,其目的是仅执行参数化查询(无需将此函数用于非参数化查询)。太棒了,谢谢@Alec!一个小小的补充,我自己挣扎着说:如果你也想
$meta = $stmt->result_metadata();
while ($field = $meta->fetch_field()) {
$parameters[] = &$row[$field->name];
}
call_user_func_array(array($stmt, 'bind_result'), $parameters);
while ($stmt->fetch()) {
foreach($row as $key => $val) {
$x[$key] = $val;
}
$results[] = $x;
}
/**
* Prepares and executes a parametrized QUERY (SELECT, INSERT, UPDATE, DELETE)
*
* @param[in] $dbConnection mysqli database connection to be used for query execution
* @param[in] $dbQuery parametrized query to be bind parameters for and then execute
* @param[in] $isDMQ boolean value, should be set to TRUE for (DELETE, INSERT, UPDATE - Data manipulaiton queries), FALSE for SELECT queries
* @param[in] $paremetersTypes String representation for input parametrs' types as per http://php.net/manual/en/mysqli-stmt.bind-param.php
* @param[in] $errorOut A variable to be passed by reference where a string representation of an error will be present if a FAUILURE occurs
* @param[in] $arrayOfParemetersToBind Parameters to be bind to the parametrized query, parameters need to be specified in an array in the correct order
* @return array of feched records associative arrays for SELECT query on SUCCESS, TRUE for INSERT, UPDATE, DELETE queries on SUCCESS, on FAIL sets the error and returns NULL
*/
function ExecuteMySQLParametrizedQuery($dbConnection, $dbQuery, $isDMQ, $paremetersTypes, &$errorOut, $arrayOfParemetersToBind)
{
$stmt = $dbConnection->prepare($dbQuery);
$outValue = NULL;
if ($stmt === FALSE)
$errorOut = 'Failed to prepare statement for query: ' . $dbQuery;
else if ( call_user_func_array(array($stmt, "bind_param"), array_merge(array($paremetersTypes), $arrayOfParemetersToBind)) === FALSE)
$errorOut = 'Failed to bind required parameters to query: ' . $dbQuery . ' , parameters :' . json_encode($arrayOfParemetersToBind);
else if (!$stmt->execute())
$errorOut = "Failed to execute query [$dbQuery] , erorr:" . $stmt->error;
else
{
if ($isDMQ)
$outValue = TRUE;
else
{
$result = $stmt->get_result();
if ($result === FALSE)
$errorOut = 'Failed to obtain result from statement for query ' . $dbQuery;
else
$outValue = $result->fetch_all(MYSQLI_ASSOC);
}
}
$stmt->close();
return $outValue;
}
$param1 = "128989";
$param2 = "some passcode";
$insertQuery = "INSERT INTO Cards (Serial, UserPin) VALUES (?, ?)";
$rowsInserted = ExecuteMySQLParametrizedQuery($dbConnection, $insertQuery, TRUE, 'ss', $errorOut, array(&$param1, &$param2) ); // Make sure the parameters in an array are passed by reference
if ($rowsInserted === NULL)
echo 'error ' . $errorOut;
else
echo "successfully inserted row";
$selectQuery = "SELECT CardID FROM Cards WHERE Serial like ? AND UserPin like ?";
$arrayOfCardIDs = ExecuteMySQLParametrizedQuery($dbConnection, $selectQuery, FALSE, 'ss', $errorOut, array(&$param1, &$param2) ); // Make sure the parameters in an array are passed by reference
if ($arrayOfCardIDs === NULL)
echo 'error ' . $errorOut;
else
{
echo 'obtained result array of ' . count($arrayOfCardIDs) . 'selected rows';
if (count($arrayOfCardIDs) > 0)
echo 'obtained card id = ' . $arrayOfCardIDs[0]['CardID'];
}