我有一个表单字段,它返回一个逗号分隔的字符串,我想将它传递给 PHP PDO MySQL 查询 IN 操作,但 IN 操作要求值以逗号分隔(与我的 字符串个分隔值)。
我该怎么做?
$values = $_POST['values']; # '10,5,4,3' (string)
$query = "SELECT * FROM table WHERE id IN (:values)";
$data = array( ':values' => $values );
【问题讨论】:
您不能在一个占位符中传递多个值。您必须为要传递到IN () 的每个值输入不同的占位符。由于不知道会有多少个,所以使用? 而不是命名参数。
$values = explode(',', $values) ;
$placeholders = rtrim(str_repeat('?, ', count($values)), ', ') ;
$query = "SELECT * FROM table WHERE id IN ($placeholders)";
$stm = $db->prepare($query) ;
$stm->execute($values) ;
【讨论】:
$values = array_filter(array_map('trim', explode(',', $values)), 'is_numeric');,您永远不知道用户输入的内容...
rtrim 的语法相反:应该是 rtrim(str_repeat('? ,', count($values)), ', ');。但除此之外,这是我采用的解决方案。谢谢!
$placeholders 如下:$str = str_repeat('?,', $count - 1) . '?';stackoverflow.com/questions/4729679/…
单独的 PDO 无法将数组绑定到 :parameter。为此,您需要一个辅助函数。
同样在您的示例中,文字字符串 '10,5,4,3' 将作为一个值接收。参数绑定会将其变成.. id IN ('10,5,4,3'),而不是列表比较。
在您的情况下,解决方法是使用动态 SQL 和转义。
$values = preg_replace('/[^\d,]/', "", $_POST['values']);
$query = "SELECT * FROM table WHERE id IN ($values)";
我个人使用的是包装器/帮助器 function,它对数组有一种特殊的语法(但实际上你并没有一个开头,所以这将是一种双重解决方法):
db("SELECT * FROM table WHERE id IN (??)", explode(",",$values));
【讨论】:
诀窍是识别$values 是一组单独的值,并在设置查询时牢记这一点。如果您使用? 占位符而不是命名占位符,这更容易做到。例如,您可以执行以下操作:
$values = explode(',', $_POST['values']); //array(10,5,4,3)
$placeholder_string = implode(',', array_fill(0, count($values), '?')); // string '?,?,?,?'
$query = "SELECT * FROM table WHERE id IN ($placeholder_string)";
$statement = $db->prepare($query);
$statement->execute($values);
【讨论】:
array_fill,我给你提了一个str_repeat :)
$str = str_repeat('?,', $count - 1) . '?'; 这样的东西可能是最理想的方式,现在我想起来了。