搜索

首页  >  问答  >  正文

绑定一个 PHP 数组以进行 SQL 插入

<p>尝试绑定一个数组(第一个数组绑定)以防止SQL注入</p><p>这是有效的代码:</p><p><br /></p> <pre class="lang-php prettyprint-override"><code>if (isset($_POST['checkbox_selected'])) { $valuesArr = array(); foreach ($_POST['checkbox_selected'] as $key => $value) { //检索Array ID以查找CSVOption列的行号 $findrow = array_search_partial($attributeid, $value); //在表单提交时,属性值被分配给属性 id $attribute = $value; $csv = $csvcolumn[$findrow]; $valuesArr[] = "('$userid', '$feed_id', '$attribute', '$csv')"; } $sql = "INSERT INTO map (user_id, feed_id, attribute_id, csvcolumn) values "; $sql .= implode(',', $valuesArr); mysqli_query($conn,$sql); } </code></pre> <p>我无法绑定该数组,已尝试:</p> <pre class="brush:php;toolbar:false;">$sql = "INSERT INTO map (user_id, feed_id, attribute_id, csvcolumn) VALUES (?, ?, ? ,?)"; $stmt = $conn->prepare($sql); $stmt->bind_param('iiii', implode(',', $valuesArr)); $stmt->execute(); echo implode(',', $valuesArr) //('1', '1', '13', '9') //这是被插入到SQL中的数组 //(user_id, feed_id, attribute_id, csvcolumn) //这里是第一个语句中分配的值</pre> <p><br /></p>
P粉928591383P粉928591383502 天前542

全部回复(1)我来回复

  • P粉384679266

    P粉3846792662023-08-09 13:15:28

    你有两个问题:

    你没有使用正确的bind语法。

    你试图在一个预处理语句中插入多行

    if (isset($_POST['checkbox_selected']))
    {
        $sql = "INSERT INTO map (user_id, feed_id, attribute_id, csvcolumn) VALUES (?, ?, ?, ?);";
        // prepare only has to happen once
        $stmt = mysqli_prepare($conn,$sql);
    
        mysqli_begin_transaction($conn);
        try {
            foreach ($_POST['checkbox_selected'] as $key => $value) {
                $findrow = array_search_partial($attributeid, $value);
                $attribute = $value;            
                $csv = $csvcolumn[$findrow];
                
                $stmt->bindParam('iiii', $userid, $feed_id, $attribute, $csv);
                $stmt->execute();
            }
            mysqli_commit($conn);
        } catch(mysqli_sql_exception $e) {
            mysqli_rollback($conn); // immediately roll back changes
            throw $e; // re-throw exception
        }
    }
    

    唯一的微弱好处是,你尝试在一个查询中打包多个VALUES()时,它会被隐式事务包装。但是这种方法的其他方面都是不利的。明确地打开包裹绑定/执行循环的事务,可以获得相同的好处[错误回滚,IO批处理],同时也能利用预处理语句的好处[单个简单查询解析,参数化等]

    回复
    0
  • 取消回复