PHP中未知类型的SQL查询

Question

我想存储一个有时是字符串，有时是整数的值。 （在 PHP 和 mySQL 中）

变量设置如下：

$userID = 123; // Unique primary key, always a number
$name = "nameOfTheProperty"; // Always a string
$value = "someText" or 1234; // Depending on the property to save

如果它是整数属性，则此方法有效：

$sql = "INSERT INTO saves (`User_ID`, `$name`) VALUES ($userID, $value) ON DUPLICATE KEY UPDATE `$name`=$value";

如果它是一个字符串属性：

$sql = "INSERT INTO saves (`User_ID`, `$name`) VALUES ($userID, '$value') ON DUPLICATE KEY UPDATE `$name`='$value'";

我怎样才能让它正常工作？最好的一次查询。

Answer 1

如果您将“字符串”传递给数字字段，MySQL 不会在意：

INSERT INTO (intfield, charfield) VALUES ('42', '42')

将42 插入两个字段。

但是，您所做的基本上容易受到 SQL 注入攻击。您应该使用准备好的语句和占位符。不幸的是，占位符不能代表除 VALUES 以外的任何内容，因此您仍然需要动态构建部分查询，例如

$safefield = $db->real_escape_string('nameOfField');

$sql = "INSERT INTO yourtable (`$safefield`) VALUES (?)";
$stmt = $db->prepare($sql);
$stmt->execute(array($value_for_field));

Answer 2

一列只能有一种类型。所以将列定义为varchar 并每次都使用引号。

更好的解决方案是使用准备好的语句。