用PHP实现动态MySQL查询
我正在寻找一种对MySQL服务器进行动态查询的方法。目前,这是我用来更新服务器上数据的代码:用PHP实现动态MySQL查询,php,mysql,Php,Mysql,我正在寻找一种对MySQL服务器进行动态查询的方法。目前,这是我用来更新服务器上数据的代码: $deskAttr = json_decode($_POST["desk_attributes"]); foreach($deskAttr as $key => $value) { $sql = "UPDATE desk_attributes SET iw_standard=".$value->iw_standard.", avay
$deskAttr = json_decode($_POST["desk_attributes"]);
foreach($deskAttr as $key => $value) {
$sql = "UPDATE desk_attributes SET iw_standard=".$value->iw_standard.", avaya_standard=".$value->avaya_standard.", avaya_withcallid=".$value->avaya_withcallid.", avaya_withtransfer=".$value->avaya_withtransfer.", dual_screen=".$value->dual_screen.", air_conditioning=".$value->air_conditioning.", iw_obdialler=".$value->iw_obdialler." WHERE id=".$value->id;
$conn->query($sql);
}
如您所见,SQL列名与deskAttr
键相同。我正在寻找一种使这一行成为循环的方法,这样,如果我要向MySQL表添加更多列,就不需要更改这一行
它看起来像这样:
$deskAttr = json_decode($_POST["desk_attributes"]);
foreach($deskAttr as $key => $value) {
$sql = "UPDATE desk_attributes SET";
foreach($value as $k => $v) {
$sql .= " $k = $value->$k ,";
}
$sql .= "WHERE id=".$value->id";
}
我该如何编写上面的代码,使其实际工作
**编辑** 知道
$deskAttr
是一个对象数组,列的名称与对象键的名称相同可能会有所帮助
以下是我在伪代码中的意思:
foreach($object in $deskAttr) {
$sql = "UPDATE table SET ";
foreach($key in $object) {
if($key != "id")
$sql .= "$key = $object->$key, ";
}
$sql .= "WHERE id = $object->id;
$conn->query($sql);
}
显然,这会在WHERE部分之前的查询末尾添加一个额外的逗号,但希望您能得到我想要实现的结果。您可以通过使用PHP函数在代码中稍作更改来实现这一点 取一个空白数组,将更新参数连接到它 如果不是,则,
内爆()
获取字符串
更新代码:
$sql = "UPDATE desk_attributes SET ";
foreach ($deskAttr as $key => $value) {
$value = mysqli_real_escape_string($link, $value); // $links is database connection string.
$key = mysqli_real_escape_string($link, $key); // $links is database connection string.
$updtAttrs[] = $key ." = '" . $value . "'";
}
$sql .= ! empty($updtAttrs) ? implode(', ', $updtAttrs) : '';
$sql .= " WHERE id=" . $value->id;
您对查询非常开放,应该真正使用而不是连接查询。特别是因为你根本没有逃避用户的输入!您应该切换到prepared语句作为值,白名单作为列名,以避免sql注入。您不能通过prepared语句绑定列名。所以,如果你想在你的SQL查询字符串中放入一个变量字符串,只要正确地转义它们就可以了。这段代码非常不安全。它对SQl注入非常开放。您应该使用准备好的语句,而不是像这样直接连接用户输入。您还应该有一个允许的列名列表。不,不是。不要做一个有准备的人,去阅读
mysqli\u real\u escape\u string
documentation@KiJ也许你应该检查评论的时间线和文章的编辑。1.当我写评论时,mysqli\u real\u escape\u string()
根本没有包含在答案中。2.$key
仍然是完全不可替换的,这使得它仍然100%地对SQL注入开放。顺便说一句,实际上有些情况下,mysqli\u real\u escape\u string()
是不够的:@MagnusEriksson在收到您的评论后,我已经更新了答案。如果我发布了一些类似这样的数据:$\u post['something hello']='world'
,该查询将中断。如前所述,您应该有一个允许列名的白名单。如果列名不是白名单,请不要将其添加到查询中。永远不要相信用户的输入。