Construire la requête d'insertion à partir de la matrice de MySQL et PHP

Je suis en train d'écrire un petit service web en PHP et j'ai un peu de mal à obtenir ma tête autour de l'hypothèse suivante.

Mon plan est d'être en mesure d'envoyer un tableau de données à une fonction, qui serait alors de construire une requête MySQL pour fonctionner. Dans le tableau, j'plan pour que la clé soit le nom de la colonne, et la valeur à la valeur de pénétrer dans les colonnes.. c'est à dire

$myData = array('userName'=>'foo','passWord'=>'bar');
$myClass = new users();

$myClass->addUser($myData);

Puis, dans ma fonction j'ai actuellement:

function addUser($usrData){
   foreach($usrData as $col => $val){

      //This is where I'm stuck..

   }
}

En gros, je me demande comment je peux séparer les clés et les valeurs de façon à ce que ma requête devient:

INSERT INTO `myTable` (`userName`,`passWord`) VALUES ('foo','bar');

Je sais que je pourrais probablement faire quelque chose comme:

function addUser($usrData){
   foreach($usrData as $col => $val){
      $cols .= "," . $col;
      $values .= ",'".$val."'";
   }
}

Mais je pensais qu'il pouvait être une solution plus élégante.

C'est probablement quelque chose de vraiment simple, mais je n'ai jamais rencontré cela avant, donc je serais reconnaissant pour toute l'aide et la direction..

Merci,

Dave

OriginalL'auteur Dave | 2011-08-13

  1. 8

    Essayez ceci:

    function addUser($usrData) {
   $count = 0;
   $fields = '';

   foreach($usrData as $col => $val) {
      if ($count++ != 0) $fields .= ', ';
      $col = mysql_real_escape_string($col);
      $val = mysql_real_escape_string($val);
      $fields .= "`$col` = $val";
   }

   $query = "INSERT INTO `myTable` SET $fields;";
}
    -1 pour l'utilisation de mysql_* fonctions.
    Par curiosité, Quel est le problème avec l'aide de la mysql_* fonctions?
    Ils sont (officieusement) obsolète, Beaucoup de meilleures alternatives existent, tels que MySQLi (Bon) et AOP (Génial).
    Quand vous dites "officieusement" obsolète, voulez-vous dire qu'ils sont à être obsolète dans un avenir proche, ou qu'il n'est pas vraiment la meilleure pratique, et qu'il y a beaucoup de meilleures alternatives? - Juste essayer de comprendre le raisonnement 🙂
    Merci Matt. J'ai utilisé cela avec mes propres assainissement des fonctions et c'est génial de travailler. PDO n'était pas une option pour moi malheureusement.

    OriginalL'auteur Matt Bradley

  2. 2

    EDIT:

    Oups ! oublié les guillemets autour des VALEURS de( ), le retrait de l'ancien code

    $query = "INSERT INTO `mytable` ( ".
          mysql_real_escape_string(implode(array_keys(' , ', $userData))).
          ") VALUES ( '".
          mysql_real_escape_string(implode("' , '", $userData)).
          "' )";

    OriginalL'auteur Sudhi

  3. 1

    Pour info, votre code est grande ouverte à l'injection SQL actuellement.

    Utilisation les requêtes préparées avec PDO. Vous pouvez définir vos noms de paramètre, et juste passer un tableau associatif à faire de l'insertion.

    Vous ne serez pas en mesure de bâton de l'arbitraire d'un tableau dans, car vous en aurez besoin pour le nom de vos paramètres de façon appropriée (comme :userName au lieu de userName), mais je ne pense pas que vous voulez faire de toute façon.

    J'ai juste écrit ce directement dans l'éditeur, il n'a pas refléter exactement le code que j'ai sur ma machine de dev à la maison. J'ai tout désinfecté 😉
    Ce n'est pas vraiment une réponse il est maintenant?

    OriginalL'auteur Brad

  4. 0

    Comment à ce sujet?

    function addUser($usrData){
   $query = "INSERT INTO `myTable` (`userName`, `passWord`) VALUES (:userName, :passWord);";
   $stmt = $pdo->prepare($query);
   foreach($usrData as $col => $val){

      $stmt->bindValue(':'.$col, $val);

   }
   $stmt->execute();
}

    Il devrait faire le travail pour vous.

    -1, grande ouverte pour l'injection SQL.
    Il n'a jamais dit que l'entrée est venu à partir d'un utilisateur. Néanmoins, je vais le corriger.
    Il n'a pas d'importance si non l'entrée provient d'un utilisateur. L'un des domaines de l'utilisation d'un caractère réservé. Vous devriez toujours s'échapper de données, indépendamment de la source.
    Point de pris et après réparation. @Brad

    OriginalL'auteur Madara Uchiha

  5. 0

    Voici le code que j'ai tendance à utiliser pour une requête d'insertion:

    <?php
//Extend the PDO class, adding support for array to query binding
class db extends pdo{
//This makes the SQL insert query
function insert($keyValue){ 
if(is_array($keyValue)){
foreach($keyValue as $key => $value){
$fields[] = '`'.$key.'`';
$values[] = ':'.$key;
}
return '('.implode(' , ',$fields).') VALUES '.'('.implode(' , ',$values).')';
}
return '';
}
//Change the key to be :key to stop injections
function bind($keyValue){
if(is_array($keyValue)){
foreach($keyValue as $key => $value){
if(is_array($value)){ //if the value is array, lets assume I want an OR statement.
$count = -1;
foreach($value as $sValue){
$count++;
$where[':'.$key.$count] = $sValue;
}
} else {
$where[':'.$key] = $value;
}
}
return $where;
}
return array();
}
}
//It can be used like
try {
//Call the PDO class (Connect to the database).
$db= new PDO('mysql:host='.$host.';dbname='.$dbname, $user, $pass);
} catch(PDOException $e) {
//If something goes wrong, PDO throws an exception with a nice error message.
echo $e->getMessage();
}
//The values you want to Add
$values = array('username' => $username, 'otherdata' => $otherdata);
$db->prepare('INSERT INTO `users` '.$db->insert($values).';') //The SQL statement.
->execute($db->bind($values)); //Bind the values to the query (Stopping SQL injections)
?>
    pouvez-vous ne pas utiliser array_keys($array) directement sur implode() ? pourquoi ne foreach $key => $value quand vous pouvez obtenir les touches correspondantes et des valeurs à l'aide array_keys($array) et array_values($array) ? S'il vous plaît corrigez-moi si je suis absent un point/faire quelque chose de mal
    Ah j'ai totalement oublié array_keys/array_values quand j'ai écrit mes mauvais. Je vais le mettre à jour dès que possible.

    OriginalL'auteur MikeRogers0

  6. 0
    //This Will Help You To Insert Data Into Database by Array
$myData = array('user'=>'foo','name'=>'bar','player'=>'Sachin');
$get->adddd('tabelname',$myData);
function insert($tabel,$usrData) {
$count = 0;
$fields = '';
foreach($usrData as $col => $val) {
if ($count++ != 0) $fields .= ', ';
if($count==1){
$field .= $col;
$value .= "'".$val."'";
}
else{
$field .= ','.$col;
$value .= ",'".$val."'";  
}
$fields .= "`$col` = $val";
}
mysql_query($query = "INSERT INTO $tabel ($field) VALUES ($value)");
}

    OriginalL'auteur Mohit Kamboj

  7. 0

    Mon Bigginer moyen (Facile) pour le faire.
    Il a besoin de quelque refactoring,
    mais c'est calme compréhensible pour moi.

    public function insertArr( $table, $paramsArr) {
$sql = "INSERT INTO {$table} (";
foreach ( $paramsArr as $name=>$value ) {
$sql .="`$name`,";
}
$sql = substr($sql, 0, strlen($sql)-1);
$sql .= ") VALUES (";
foreach ($paramsArr as $name => $value){
$value === null? $sql .= "null," : $sql .= "'$value',";
}
$sql = substr($sql, 0, strlen($sql)-1);
$sql .= ");";
$this->link->query($sql);
return $this->link->affected_rows;
}

    OriginalL'auteur David Chincharashvili