綁定一個 PHP 陣列以進行 SQL 插入

Question

嘗試綁定一個陣列（第一個陣列綁定）以防止SQL注入

這是有效的程式碼：

;

<code>if (isset($_POST['checkbox_selected']))
{
    $valuesArr = array();
    foreach ($_POST['checkbox_selected'] as $key => $value) {
        //檢索Array ID以查找CSVOption列的行號
        $findrow = array_search_partial($attributeid, $value);
        //在表單提交時，屬性值被指派給屬性 id
        $attribute = $value;
        $csv = $csvcolumn[$findrow];
        $valuesArr[] = "('$userid', '$feed_id', '$attribute', '$csv')";
    }
        
    $sql = "INSERT INTO map (user_id, feed_id, attribute_id, csvcolumn) values ";
    $sql .= implode(',', $valuesArr);
    mysqli_query($conn,$sql);
}
</code>

我無法綁定該數組，已嘗試：

$sql = "INSERT INTO map (user_id, feed_id, attribute_id, csvcolumn) VALUES (?, ?, ? ,?)";
$stmt = $conn->prepare($sql);
$stmt->bind_param('iiii', implode(',', $valuesArr));
$stmt->execute();

echo implode(',', $valuesArr)
//('1', '1', '13', '9') //這是被插入到SQL中的陣列
//(user_id, feed_id, attribute_id, csvcolumn) //這裡是第一個語句中分配的值

Answer 1

你有兩個問題：

你沒有使用正確的bind語法。

你試圖在一個預處理語句中插入多行

if (isset($_POST['checkbox_selected']))
{
    $sql = "INSERT INTO map (user_id, feed_id, attribute_id, csvcolumn) VALUES (?, ?, ?, ?);";
    // prepare only has to happen once
    $stmt = mysqli_prepare($conn,$sql);

    mysqli_begin_transaction($conn);
    try {
        foreach ($_POST['checkbox_selected'] as $key => $value) {
            $findrow = array_search_partial($attributeid, $value);
            $attribute = $value;            
            $csv = $csvcolumn[$findrow];
            
            $stmt->bindParam('iiii', $userid, $feed_id, $attribute, $csv);
            $stmt->execute();
        }
        mysqli_commit($conn);
    } catch(mysqli_sql_exception $e) {
        mysqli_rollback($conn); // immediately roll back changes
        throw $e; // re-throw exception
    }
}

唯一的微弱好處是，你嘗試在一個查詢中打包多個VALUES（）時，它會被隱含交易包裝。但是這種方法的其他方面都是不利的。明確地開啟包裹綁定/執行循環的事務，可以得到相同的好處[錯誤回滾，IO批處理]，同時也能利用預處理語句的好處[單一簡單查詢解析，參數化等]