MySQL एक परिवर्तनीय आकार चर सूची के साथ तैयार बयान

Question

आप PHP में एक तैयार MySQL कथन कैसे लिखेंगे जो प्रत्येक बार भिन्न संख्या में तर्क लेता है? एक उदाहरण इस तरह के प्रश्न है:

SELECT `age`, `name` FROM `people` WHERE id IN (12, 45, 65, 33) 

IN खंड id रों हर बार चलाया जाता है की एक अलग नंबर होगा।

मेरे दिमाग में मेरे दो संभावित समाधान हैं लेकिन यह देखना चाहते हैं कि कोई बेहतर तरीका है या नहीं।

संभावित समाधान 1 कथन को 100 चर स्वीकार करते हैं और बाकी को डमी मानों के साथ भरें, तालिका में नहीं होने की गारंटी है; 100 से अधिक मूल्यों के लिए एकाधिक कॉल करें।

संभावित समाधान 2 तैयार कथन का उपयोग न करें; संभावित इंजेक्शन हमलों के लिए कड़ाई से क्वेरी जांच बनाना और चलाएं।

Answer 1

मैं कुछ समाधानों के बारे में सोच सकता हूं।

एक समाधान एक अस्थायी तालिका बनाने के लिए हो सकता है। खंड में आपके प्रत्येक पैरामीटर के लिए तालिका में डालें। फिर अपनी अस्थायी तालिका के खिलाफ एक सरल जुड़ाव करें।

ऐसा कुछ और करने का तरीका हो सकता है।

$dbh=new PDO($dbConnect, $dbUser, $dbPass); 
$parms=array(12, 45, 65, 33); 
$parmcount=count($parms); // = 4 
$inclause=implode(',',array_fill(0,$parmcount,'?')); // = ?,?,?,? 
$sql='SELECT age, name FROM people WHERE id IN (%s)'; 
$preparesql=sprintf($sql,$inclause); // = example statement used in the question 
$st=$dbh->prepare($preparesql); 
$st->execute($parms); 

मुझे लगता है, लेकिन कोई सबूत है, कि पहले समाधान बड़ा सूचियों के लिए बेहतर हो सकता है, और बाद में छोटे सूचियों के लिए काम करेगा।

---

@orrd खुश करने के लिए यहां एक terse संस्करण है।

$dbh=new PDO($dbConnect, $dbUser, $dbPass); 
$parms=array(12, 45, 65, 33); 
$st=$dbh->prepare(sprintf('SELECT age, name FROM people WHERE id IN (%s)', 
          implode(',',array_fill(0,count($parms),'?')))); 
$st->execute($parms); 

---

Answer 2

कृपया तालिका बंद # 2 ले। तैयार बयान एकमात्र तरीका है जिसे आपको एसक्यूएल इंजेक्शन के खिलाफ स्वयं को बचाने पर विचार करना चाहिए।

हालांकि, आप बाध्यकारी चर के गतिशील सेट उत्पन्न कर सकते हैं। यानी अगर आपको 7 (या 103) की आवश्यकता है तो 100 मत बनाओ।

Answer 3

सभ्य एसक्यूएल रैपर सरणी मानों के लिए बाध्यकारी समर्थन करते हैं। अर्थात

$sql = "... WHERE id IN (?)"; 
$values = array(1, 2, 3, 4); 
$result = $dbw -> prepare ($sql, $values) -> execute(); 

Answer 4

आप केवल अपने IN खंड में पूर्णांक मूल्यों उपयोग कर रहे हैं, वहाँ कुछ भी नहीं है कि SQL मानकों के उपयोग के बिना गतिशील रूप से आपकी क्वेरी के निर्माण के खिलाफ तर्क है है।

function convertToInt(&$value, $key) 
{ 
    $value = intval($value); 
} 

$ids = array('12', '45', '65', '33'); 
array_walk($ids, 'convertToInt'); 
$sql = 'SELECT age, name FROM people WHERE id IN (' . implode(', ', $ids) . ')'; 
// $sql will contain SELECT age, name FROM people WHERE id IN (12, 45, 65, 33) 

लेकिन बिना शक समाधान here इस समस्या का अधिक सामान्य दृष्टिकोण है।

Answer 5

मुझे मेरा जवाब मिला: http://bugs.php.net/bug.php?id=43568
यह मेरी समस्या का मेरा समाधान समाधान है। अब मैं गतिशील रूप से जितना चाहूं उतने पैरामीटर का उपयोग कर सकता हूं। वे वही संख्या होंगे जैसे मेरे पास एक सरणी में है या इस मामले में मैं अंतिम क्वेरी से आईडी को पास कर रहा हूं (जो सभी आईडी प्राप्त करता है जहां ईमेल = 'johndoe@gmail.com') सभी को प्राप्त करने के लिए गतिशील क्वेरी में इन आईडी में से प्रत्येक के बारे में जानकारी इससे कोई फर्क नहीं पड़ता कि मुझे कितनी जरूरत है।

<?php $NumofIds = 2; //this is the number of ids i got from the last query 
    $parameters=implode(',',array_fill(0,$NumofIds,'?')); 
    // = ?,? the same number of ?'s as ids we are looking for<br /> 
    $paramtype=implode('',array_fill(0,$NumofIds,'i')); // = ii<br/> 
    //make the array to build the bind_param function<br/> 
    $idAr[] = $paramtype; //'ii' or how ever many ?'s we have<br/> 
    while($statement->fetch()){ //this is my last query i am getting the id out of<br/> 
     $idAr[] = $id; 
    } 

    //now this array looks like this array:<br/> 
    //$idAr = array('ii', 128, 237); 

    $query = "SELECT id,studentid,book_title,date FROM contracts WHERE studentid IN ($parameters)"; 
    $statement = $db->prepare($query); 
    //build the bind_param function 
    call_user_func_array (array($statement, "bind_param"), $idAr); 
    //here is what we used to do before making it dynamic 
    //statement->bind_param($paramtype,$v1,$v2); 
    $statement->execute(); 
?> 

Answer 6

FIND_IN_SET function जिसका दूसरा पैरामीटर कॉमा सेपरेटेड वैल्यूज़ की एक श्रृंखला है भी है:

SELECT age, name FROM people WHERE FIND_IN_SET(id, '12,45,65,33') 

Answer 7

मैं आज एक समान समस्या थी और मैं इस विषय पाया। उत्तर को देखकर और Google के चारों ओर खोजना मुझे एक सुंदर समाधान मिला।

हालांकि, मेरी समस्या थोड़ा और जटिल है। क्योंकि मैंने बाध्यकारी मान और गतिशील भी तय किया है।

यह समाधान है।

$params = array() 
$all_ids = $this->get_all_ids(); 

for($i = 0; $i <= sizeof($all_ids) - 1; $i++){ 
    array_push($params, $all_ids[$i]['id']); 
} 

$clause = implode(',', array_fill(0, count($params), '?')); // output ?, ?, ? 
$total_i = implode('', array_fill(0, count($params), 'i')); // output iiii 

$types = "ss" . $total_i; // will reproduce : ssiiii ..etc 

// %% it's necessary because of sprintf function 
$query = $db->prepare(sprintf("SELECT * 
           FROM clients  
           WHERE name LIKE CONCAT('%%', ?, '%%') 
           AND IFNULL(description, '') LIKE CONCAT('%%', ?, '%%') 
           AND id IN (%s)", $clause)); 

$thearray = array($name, $description); 
$merge = array_merge($thearray, $params); // output: "John", "Cool guy!", 1, 2, 3, 4 

// We need to pass variables instead of values by reference 
// So we need a function to that 
call_user_func_array('mysqli_stmt_bind_param', array_merge (array($query, $types), $this->makeValuesReferenced($merge))); 

और समारोह makeValuesreferenced: इस 'पता है कि कैसे' प्राप्त करने के लिए

public function makeValuesReferenced($arr){ 
    $refs = array(); 
    foreach($arr as $key => $value) 
     $refs[$key] = &$arr[$key]; 
    return $refs; 
} 

लिंक: https://bugs.php.net/bug.php?id=49946, PHP append one array to another (not array_push or +), [PHP]: Error -> Too few arguments in sprintf();, http://no2.php.net/manual/en/mysqli-stmt.bind-param.php#89171, Pass by reference problem with PHP 5.3.1