Php 使用PDOStatement::prepare with PostGIS函数
我是PDO的新手,所以如果我误解了一些事情,请原谅。我花了相当长的时间阅读网上提供的资料,但找不到合适的解决办法 我试图编写的代码应该执行以下操作:获取两个$\u GET变量,其中包含特定的点纬度($lat)和经度($lon),然后选择与这些坐标最近的点,这些点存储在支持PostGIS的数据库中(加上到该点的返回距离)。这就是当前(和正在工作的)代码段的外观:Php 使用PDOStatement::prepare with PostGIS函数,php,pdo,prepared-statement,postgis,Php,Pdo,Prepared Statement,Postgis,我是PDO的新手,所以如果我误解了一些事情,请原谅。我花了相当长的时间阅读网上提供的资料,但找不到合适的解决办法 我试图编写的代码应该执行以下操作:获取两个$\u GET变量,其中包含特定的点纬度($lat)和经度($lon),然后选择与这些坐标最近的点,这些点存储在支持PostGIS的数据库中(加上到该点的返回距离)。这就是当前(和正在工作的)代码段的外观: $courts = $pdo->query("SELECT * , ST_ASTEXT(geog) , ST_distance(
$courts = $pdo->query("SELECT * , ST_ASTEXT(geog) , ST_distance( ST_GeographyFromText('POINT($lon $lat)') , geog ) AS distance FROM bvbcourts WHERE ST_DWithin( ST_GeographyFromText('POINT($lon $lat)' ) , geog , 20000) ORDER BY distance LIMIT 1");
然而,我想尝试使用prepare语句,因为我读到这些语句是SQL注入证明
$courts = $pdo->prepare("SELECT * , ST_ASTEXT(geog) , ST_distance( ST_GeographyFromText('POINT( :lon :lat )') , geog ) AS distance FROM bvbcourts WHERE ST_DWithin( ST_GeographyFromText('POINT( :lon :lat )' ) , geog , 20000) ORDER BY distance LIMIT 1" );
$courts->execute(array( ':lon' => $lon , ':lat' => $lat ) )
但是上面的代码不起作用。执行errorInfo()只返回以下错误代码:HY093
根据我到目前为止所了解的情况,我假设上面的代码不起作用,因为->prepare
占位符只能用于通常插入输入参数的地方
例如,->prepare(“从x中选择*,其中字段=:字段”)代码>将起作用
鉴于->prepare(“从x中选择*,其中field='someprefix:field'”)代码>不会。我在上面尝试使用的代码与“someprefix”示例有些类似
所以,我的问题是,我如何让我试图执行的语句工作,而不必使用->query
和手动阻止注入。或者我最好只是确保传递的参数是正确的普通坐标,并使用->query
这只是我在这里提出的第二个问题,请原谅我对所提供的研究和信息不够清楚或透彻。我真的很想知道如何向新来者提供关于该主题的基本知识
在常人看来,这些问题似乎很重复。这让程序员想到网站的低效。然而,网站政策似乎鼓励重复问题。好了,就这样
准备好的语句只能表示竞争数据文本。坦率地说,一个完整的字符串或数字
查看您的代码:
'POINT($lon $lat)'
已是数据文字。所以,你不能让文字成为文字的一部分。你必须把它捆起来:
$courts = $pdo->prepare("SELECT * , ST_ASTEXT(geog) , ST_distance( ST_GeographyFromText(:point) , geog ) AS distance FROM bvbcourts WHERE ST_DWithin( ST_GeographyFromText(:point ) , geog , 20000) ORDER BY distance LIMIT 1" );
$courts->execute(array( ':point' => "POINT($lon $lat)") );
我真的很想知道如何向新来者提供关于这个主题的基本知识
在常人看来,这些问题似乎很重复。这让程序员想到网站的低效。然而,网站政策似乎鼓励重复问题。好了,就这样
准备好的语句只能表示竞争数据文本。坦率地说,一个完整的字符串或数字
查看您的代码:
'POINT($lon $lat)'
已是数据文字。所以,你不能让文字成为文字的一部分。你必须把它捆起来:
$courts = $pdo->prepare("SELECT * , ST_ASTEXT(geog) , ST_distance( ST_GeographyFromText(:point) , geog ) AS distance FROM bvbcourts WHERE ST_DWithin( ST_GeographyFromText(:point ) , geog , 20000) ORDER BY distance LIMIT 1" );
$courts->execute(array( ':point' => "POINT($lon $lat)") );
最好的方法是不创建WKT字符串,而是将坐标浮动直接传递给PostGIS几何体构造函数。以下是您的prepare语句的外观
SELECT *, ST_ASTEXT(geog), ST_Distance(poi, geog) AS distance
FROM bvbcourts,
(SELECT ST_MakePoint(:lon, :lat)::geography AS poi) AS f
WHERE ST_DWithin(poi, geog, 20000)
ORDER BY distance
LIMIT 1;
最好的方法是不创建WKT字符串,而是将坐标浮动直接传递给PostGIS几何体构造函数。以下是您的prepare语句的外观
SELECT *, ST_ASTEXT(geog), ST_Distance(poi, geog) AS distance
FROM bvbcourts,
(SELECT ST_MakePoint(:lon, :lat)::geography AS poi) AS f
WHERE ST_DWithin(poi, geog, 20000)
ORDER BY distance
LIMIT 1;
根据PostGIS文档,ST_MakePoint解决方案也可以工作,并且比ST_GeographyFromText(参见此处)快一点。对我来说,它也更容易使用,因为我可以使用与其他查询相同的编码样式,并且不必添加检查输入参数是否为实际浮点。然而,该文档还指出ST_MakePoint不符合OGC。这可能是将来的问题(例如,当迁移到不同的dbms时)?正确,ST_MakePoint
不符合OGC,因此在不同的dbms上不可用,但地理类型(和ST_GeographyFromText
)也不是OGC的一部分。我知道MS SQL Server也有类似的类型,但不确定其他类型。ST_MakePoint解决方案也可以工作,并且根据PostGIS文档,它比ST_GeographyFromText(参见此处)快一点。对我来说,它也更容易使用,因为我可以使用与其他查询相同的编码样式,并且不必添加检查输入参数是否为实际浮点。然而,该文档还指出ST_MakePoint不符合OGC。这可能是将来的问题(例如,当迁移到不同的dbms时)?正确,ST_MakePoint
不符合OGC,因此在不同的dbms上不可用,但地理类型(和ST_GeographyFromText
)也不是OGC的一部分。我知道MS SQL Server有类似的类型,但不确定其他类型。