Php 在避免不必要的查询的同时,使用PDO是否有一种更安全的方法?
我使用与下面类似的代码插入mysql数据库(使用PDO) 目的是只使用一个查询插入数据。 不幸的是,它无法达到使用PDO的目的,因为它没有使用bindValue或param。我想写代码,这样更安全,但仍然可以避免不必要的查询。 有人能推荐如何做吗 注1:每次访问程序时,集合中的问题数都会发生变化(即Php 在避免不必要的查询的同时,使用PDO是否有一种更安全的方法?,php,mysql,pdo,innodb,sql-injection,Php,Mysql,Pdo,Innodb,Sql Injection,我使用与下面类似的代码插入mysql数据库(使用PDO) 目的是只使用一个查询插入数据。 不幸的是,它无法达到使用PDO的目的,因为它没有使用bindValue或param。我想写代码,这样更安全,但仍然可以避免不必要的查询。 有人能推荐如何做吗 注1:每次访问程序时,集合中的问题数都会发生变化(即$totalQ每次运行时都会不同) 试试看 { 对于($i=0;$i$rowValue) { $rowValues[$key]=$rowValues[$key]; } $values[]=“(“.in
$totalQ试试看
{
对于($i=0;$i$rowValue)
{
$rowValues[$key]=$rowValues[$key];
}
$values[]=“(“.introde(',',$rowValues)。””;
}
$count=$dbh->exec(“插入到结果(实例、qid、结果、开始、结束)值中”)。内爆(“,”,$VALUES));
$dbh=null;
}
编辑:当我选择chris的答案时,我非常感谢Alix Axel的建议。这帮了大忙,谢谢 像这样的东西怎么样:
try
{
for ($i=0; $i<$totalQ; $i++)
{
$stqid[$i][0]=$lastInsertValue; //instance PDO::PARAM_INT
$stqid[$i][1]=$jaid[$i][0]; //question number PDO::PARAM_INT
$stqid[$i][2]=$jaid[$i][5]; //result PDO::PARAM_INT
$stqid[$i][3]=$jqid[$i][3]; //question start PDO::PARAM_STR
$stqid[$i][4]=$jqid[$i][4]; //question finish PDO::PARAM_STR
}
$values = null;
foreach ($stqid as $rowValues)
{
$values .= vsprintf('(%s, %s, %s, %s, %s) ', array_map(array($dbh, 'quote'), $rowValues));
}
$count = $dbh->exec('INSERT INTO results (instance, qid, result, start, finish) VALUES ' . rtrim($values) . ';');
$dbh = null;
}
试试看
{
对于($i=0;$iexec('INSERT-INTO-results(instance,qid,result,start,finish))值.rtrim($VALUES)。;';
$dbh=null;
}
try
{
for ($i=0; $i<$totalQ; $i++)
{
$stqid[$i][0]=$lastInsertValue; //instance PDO::PARAM_INT
$stqid[$i][1]=$jaid[$i][0]; //question number PDO::PARAM_INT
$stqid[$i][2]=$jaid[$i][5]; //result PDO::PARAM_INT
$stqid[$i][3]=$jqid[$i][3]; //question start PDO::PARAM_STR
$stqid[$i][4]=$jqid[$i][4]; //question finish PDO::PARAM_STR
}
$values = null;
foreach ($stqid as $rowValues)
{
$values .= vsprintf('(%s, %s, %s, %s, %s) ', array_map(array($dbh, 'quote'), $rowValues));
}
$count = $dbh->exec('INSERT INTO results (instance, qid, result, start, finish) VALUES ' . rtrim($values) . ';');
$dbh = null;
}
试试看
{
对于($i=0;$iexec('INSERT-INTO-results(instance,qid,result,start,finish))值.rtrim($VALUES)。;';
$dbh=null;
}
$numColumns = 5; //or $numColumns = count($stqid[0]);
$rowPlaceholder = join(', ', array_fill(0, $numColumns, '?'));
$rowPlaceholders = array_fill(0, $totalQ, "($rowPlaceholder)");
echo $sql = "INSERT INTO results(instance, qid, result, start, finish) VALUES " . join(", \n", $rowPlaceholders);
$flat = call_user_func_array('array_merge', $stqid);
$stmt = $dbh->prepare($sql);
$stmt->execute($flat);
未测试。仍然使用准备好的语句
$numColumns = 5; //or $numColumns = count($stqid[0]);
$rowPlaceholder = join(', ', array_fill(0, $numColumns, '?'));
$rowPlaceholders = array_fill(0, $totalQ, "($rowPlaceholder)");
echo $sql = "INSERT INTO results(instance, qid, result, start, finish) VALUES " . join(", \n", $rowPlaceholders);
$flat = call_user_func_array('array_merge', $stqid);
$stmt = $dbh->prepare($sql);
$stmt->execute($flat);
您可以根据需要添加尽可能多的占位符,然后将值绑定到占位符。为什么不使用准备好的语句并使用不同的值执行它呢?我还没有测试过这一点,但我认为对性能的影响不应该太大。我可能错了。我真的很难使用PDO。您可以链接到一个示例吗?可能重复:Y你可以根据需要添加尽可能多的占位符,然后将值绑定到占位符上。为什么不使用一个准备好的语句,然后用不同的值执行它呢?我还没有测试过这一点,但我认为对性能的影响不应该太大。我可能错了。我真的很难处理PDO。你能链接到一个示例吗?可能重复:Th谢谢你的回答。我猜你使用vsprintf是为了避免在开始和结束的时间格式中出现与逗号相关的错误。但是这会使它更安全吗?@moocho:不,我使用了
[v]sprintf,PDO::quote()vsprintf$dbh->execvalue=(0,0,0,'2012-05-10 06:11:43',2012-05-10 06:11:43'))SQLSTATE[42000]:语法错误或访问冲突:1064您的SQL语法有错误;请查看与您的MySQL服务器版本相对应的手册,以获得正确的语法,以便在“0,0,0,'2012-05-10 06:11:43'、'2012-05-10 06:11:43'附近使用)PDO::quote01intval('1')=0(%s,%s,%s,%s)vsprintf()
调用中的[v]sprintf,PDO::quote()vsprintf$dbh->execvalue=(0,0,0,'2012-05-10 06:11:43',2012-05-10 06:11:43'))SQLSTATE[42000]:语法错误或访问冲突:1064您的SQL语法有错误;请查看与您的MySQL服务器版本相对应的手册,以获得正确的语法,以便在“0,0,0,'2012-05-10 06:11:43'、'2012-05-10 06:11:43'附近使用)PDO::quote01intval('1')=0(%s,%s,%s,%s)vsprintf()中的
调用将在不影响安全性的情况下修复它。$flat=call\u user\u func\u数组('array\u merge',$stqid)
是这样吗?谢谢你的回答。这对我来说很有效,但我不太明白它是如何让它更安全的。我还发现,如果一个结果的值为null
它被作为0插入到mysql中(但我想这是另一个问题!)@moomoochoo:他是一名律师