最受欢迎

从php数组构建PDO MYSQL查询

Building a PDO MYSQL query from a php arrays?

本文关键字:MYSQL 查询 PDO 构建 php 数组 | 更新日期: 2023-09-27

我正试图根据迄今为止的数组值构建一个查询,

$itemPlus = $_POST['itemPlus'];
$query = implode(', ', array_map(function($items) {return $items . ' = ' . $items . '-?';}, $items));
// $query = 'hats = hats-?, gloves = gloves-?, scarfs = scarfs-?'
$params = implode(', ', $userCost);
// $params = '10, 7, 9'
$q = $dbc -> prepare("UPDATE items SET " . $query . ", $itemPlus = $itemPlus+1 WHERE id = ?");
$q -> execute(array($params, $account['id']));

它不起作用,这是我第一次尝试,由于它不起,我显然做错了什么!?

感谢

由于$params是一个值字符串,因此不能将其与$account['id']一起放入数组中。Instead.use创建它的数组$userCost:

// Start with the $userCost array...
$paramArr = $userCost;
// Add $account['id'] to it
$paramArr[] = $account['id'];
// And pass that whole array to execute()
$q -> execute($paramArr);

由于$itemPlus来自$_POST,您需要确保这是有效的输入。由于它指的是列名,因此建议使用白名单:

// Check against an array of possible column names:
if (!in_array($_POST['itemPlus'], array('col1','col2','col3','col4',...)) {
   // $_POST['itemPlus'] is NOT VALID
   // Don't proceed...
}

您的问题(其中之一)在于:

$q -> execute(array($params, $account['id']));

$params变量是一个逗号分隔的字符串:

// $params = '10, 7, 9'

您想要将参数和值的关联数组传递给execute()方法,如下所示:

$params = array(
    'hats-?' => 10,
    'gloves-?' => 7,
    'scarves-?' => 9
);
// ...
$q->execute($params);
相关文章:
最新更新
www.56WenDa.com 2012-2023 | php问答网 | php学习