mysqli_real_escape_string 与 php 中的数组？ [复制]

Question

我的代码是这样的

 public function addQuestions($data){


    $ans = array();
    $ans[1] = $data['ans1'];
    $ans[2] = $data['ans2'];
    $ans[3] = $data['ans3'];
    $ans[4] = $data['ans4'];
    $ans= mysqli_real_escape_string($this->db->link, $data[$ans]);

}

这是在这个sql函数中使用数组的正确方法吗？？

Answer 1

既然你想对数组$ans的每个元素做一些事情，那么使用array_map()是最合适的，如下：

public function addQuestions($data){


    $ans = array();
    $ans[1] = $data['ans1'];
    $ans[2] = $data['ans2'];
    $ans[3] = $data['ans3'];
    $ans[4] = $data['ans4'];

    $escaped_ans = array_map(function( $e ) {
             return mysqli_real_escape_string( $this->db->link, $e);
    }, $ans );

Answer 2

我没有足够的声望来评论 Milan 的帖子，但要小心 array_walk，它不会改变你原来的数组。为了使 Milan 的代码真正影响您的数组，该函数必须是

function myescape(&$val) //Note the '&' which calls $val by reference.
{
    $val = mysqli_real_escape_string($val);
}

array_walk($ans, 'myescape');

回答你的问题：

public function addQuestions($data){
    $ans = array('',$data['ans1'],$data['ans2'],$data['ans3'],$data['ans4']);
    //I would recommend using an object/associative array in this case though, just the way $data is already

    $ans_escaped = array_map(function($val) {
        return mysqli_real_escape_string($this->db->link, $val);
    }, $ans);

    //do whatever you need to do with escaped array
}

不过，我的建议是真正研究准备好的陈述。它可能看起来只是你不想费心的额外工作 - 一开始 - 但一旦你学会了它，你就再也不想做任何其他方式了。

Answer 3

由于您有一个数组，并且您希望在数组的每个元素上使用mysqli_real_escape_string，您可以使用array_walk()：

function myescape($val)
{
    return mysqli_real_escape_string($val);
}

...然后

array_walk($ans, 'myescape');

Answer 4

如果您使用 MYSQL PDO，则不需要添加“mysqli_real_escape_string”，因为绑定后所有变量都是安全的（来自 SQL 注入）

http://php.net/manual/en/pdostatement.bindparam.php