在php中使用str_replace进行多次替换
好的,问题是: 我正试图在我的项目中为一个数据库类编写查询函数,我想让它更容易地转义sql并检查它是否对数据库有害 假设我有这样一个问题:在php中使用str_replace进行多次替换,php,codeigniter,str-replace,Php,Codeigniter,Str Replace,好的,问题是: 我正试图在我的项目中为一个数据库类编写查询函数,我想让它更容易地转义sql并检查它是否对数据库有害 假设我有这样一个问题: INSERT INTO users (id,name,email,username,birthdate) VALUES(1,'Josh','josh101@coolsite.com','josh101','1978-11-02') $params=array(1,'Josh','josh101@coolsite.com','josh101','1978-1
INSERT INTO users (id,name,email,username,birthdate)
VALUES(1,'Josh','josh101@coolsite.com','josh101','1978-11-02')
$params=array(1,'Josh','josh101@coolsite.com','josh101','1978-11-02');
$sql="INSERT INTO users (id,name,email,username,birthdate)
VALUES(?,?,?,?,?)";
foreach($params as $param)
{
$pos = strpos($sql, '?');
if($pos !== false)
{
$sql = substr_replace($sql,"'" . $param . "'",$pos,1);
}
}
echo $sql;
但是,如果我将其硬编码到函数中,它将不会真的有帮助。假设我对所有要插入的值都使用问号,然后将一个数组传递给包含我要替换的实际值的函数,就像在codeigniter中所做的那样
以下是一个示例:
//Here's the way the function appears in the class definition.
public function query($sql,$params=array()){
if (!empty($params) && is_string($sql)):
//do some stuff here.
elseif (empty($params) && is_string($sql)):
//do some other stuff here.
else:
//bad sql argument.
die("Mysql_database ERROR: The query submitted is not a string!");
endif;
}
//Here's where the function is applied.
$sql="INSERT INTO users (id,name,email,username,birthdate)
VALUES(?,?,?,?,?)";
$params=array(1,'Josh','josh101@coolsite.com','josh101','1978-11-02');
$db= new Mysql_database();
$response=$db->query($sql,$params);
现在我想做的是:
/*assuming I already have a function called create_array that well,
basically creates an array with n elements
specified in the first parameter and fills each element with the value provided in
the second parameter.*/
$toreplace = create_array(substr_count($sql, "?"),"?");
$sqlComplete = str_replace($toreplace, $params, $sql);
如果我回显$sqlComplete,我会得到以下结果:
INSERT INTO users (id,name,email,username,birthdate)
VALUES(1,1,1,1,1)
如何将$params的每个元素放置在sql字符串中的适当位置
PS:请不要告诉我只使用codeigniter,因为我试图通过从头开始构建一个项目来挑战自己,我不想总是依赖框架来完成工作。也许只使用?也许只使用?可以这样做:
INSERT INTO users (id,name,email,username,birthdate)
VALUES(1,'Josh','josh101@coolsite.com','josh101','1978-11-02')
$params=array(1,'Josh','josh101@coolsite.com','josh101','1978-11-02');
$sql="INSERT INTO users (id,name,email,username,birthdate)
VALUES(?,?,?,?,?)";
foreach($params as $param)
{
$pos = strpos($sql, '?');
if($pos !== false)
{
$sql = substr_replace($sql,"'" . $param . "'",$pos,1);
}
}
echo $sql;
输出
INSERT INTO users (id,name,email,username,birthdate) VALUES('1','Josh','josh101@coolsite.com','josh101','1978-11-02')
这不会进行任何转义,它只是填充查询中的值。您需要添加适合框架/DB API的转义。可以这样做:
INSERT INTO users (id,name,email,username,birthdate)
VALUES(1,'Josh','josh101@coolsite.com','josh101','1978-11-02')
$params=array(1,'Josh','josh101@coolsite.com','josh101','1978-11-02');
$sql="INSERT INTO users (id,name,email,username,birthdate)
VALUES(?,?,?,?,?)";
foreach($params as $param)
{
$pos = strpos($sql, '?');
if($pos !== false)
{
$sql = substr_replace($sql,"'" . $param . "'",$pos,1);
}
}
echo $sql;
输出
INSERT INTO users (id,name,email,username,birthdate) VALUES('1','Josh','josh101@coolsite.com','josh101','1978-11-02')
这不会进行任何转义,它只是填充查询中的值。您需要添加适用于框架/DB API的转义。谢谢,我对准备好的语句一无所知,我想知道如何使用它们会有很大帮助,所以我一定会读到。:)谢谢,我对准备好的语句一无所知,我想知道如何使用它们会有很大帮助,所以我一定会读到。:)