У меня есть массив целых чисел, как я могу использовать каждое из них в запросе MySQL (в PHP)? - PullRequest
Новая
       14

У меня есть массив целых чисел, как я могу использовать каждое из них в запросе MySQL (в PHP)?

19 голосов
/ 01 декабря 2008

У меня есть массив, полный случайных идентификаторов элементов контента. Мне нужно выполнить запрос MySQL (идентификатор в массиве идет в предложении WHERE), используя каждый идентификатор, который находится в массиве, в порядке их появления в указанном массиве. Как бы я это сделал?

Это будет запрос UPDATE для каждого отдельного идентификатора в массиве.

Ответы [ 5 ]

33 голосов
/ 01 декабря 2008

Как и почти на все вопросы «Как сделать SQL из PHP» - вы действительно должны использовать подготовленные операторы. Это не так сложно: 

$ids  = array(2, 4, 6, 8);

// prepare an SQL statement with a single parameter placeholder
$sql  = "UPDATE MyTable SET LastUpdated = GETDATE() WHERE id = ?";
$stmt = $mysqli->prepare($sql);

// bind a different value to the placeholder with each execution
for ($i = 0; $i < count($ids); $i++)
{
    $stmt->bind_param("i", $ids[$i]);
    $stmt->execute();
    echo "Updated record ID: $id\n";
}

// done
$stmt->close();

Кроме того, вы можете сделать это так: 

$ids    = array(2, 4, 6, 8);

// prepare an SQL statement with multiple parameter placeholders
$params = implode(",", array_fill(0, count($ids), "?"));
$sql    = "UPDATE MyTable SET LastUpdated = GETDATE() WHERE id IN ($params)";
$stmt   = $mysqli->prepare($sql);

// dynamic call of mysqli_stmt::bind_param                    hard-coded eqivalent
$types = str_repeat("i", count($ids));                        // "iiii"
$args = array_merge(array($types), $ids);                     // ["iiii", 2, 4, 6, 8]
call_user_func_array(array($stmt, 'bind_param'), ref($args)); // $stmt->bind_param("iiii", 2, 4, 6, 8)

// execute the query for all input values in one step
$stmt->execute();

// done
$stmt->close();
echo "Updated record IDs: " . implode("," $ids) ."\n";

// ----------------------------------------------------------------------------------
// helper function to turn an array of values into an array of value references
// necessary because mysqli_stmt::bind_param needs value refereces for no good reason
function ref($arr) {
    $refs = array();
    foreach ($arr as $key => $val) $refs[$key] = &$arr[$key];
    return $refs;
}

Добавление дополнительных заполнителей параметров для других полей по мере необходимости.

Какой выбрать?

  • Первый вариант работает с переменным числом записей итеративно, ударяя по базе данных несколько раз. Это наиболее полезно для операций UPDATE и INSERT.

  • Второй вариант также работает с переменным числом записей, но попадает в базу данных только один раз. Это гораздо более эффективно, чем итеративный подход, очевидно, что вы можете сделать то же самое для всех затронутых записей. Это наиболее полезно для операций SELECT и DELETE, или когда вы хотите ОБНОВИТЬ несколько записей с одинаковыми данными.

Зачем готовятся заявления?

  • Подготовленные операторы намного безопаснее, потому что они делают невозможными атаки SQL-инъекций. Это основная причина использовать подготовленные операторы, даже если для их написания требуется больше усилий. Разумная привычка: всегда используйте готовые высказывания, даже если вы думаете, что это «не совсем необходимо». Пренебрежение придет и укусит вас (или ваших клиентов).
  • Повторное использование одного и того же подготовленного оператора несколько раз с различными значениями параметров более эффективно, чем отправка нескольких полных строк SQL в базу данных, поскольку базе данных требуется только один раз скомпилировать оператор и также может повторно использовать его.
  • В базу данных execute() отправляются только значения параметров, поэтому при повторном использовании требуется меньше данных для передачи по проводам.

В более длинных циклах разница во времени между использованием подготовленного оператора и отправкой простого SQL станет заметной.

5 голосов
/ 01 декабря 2008

Использование предложения "IN"

Может быть, что вы после 

$ids = array(2,4,6,8);
$ids = implode($ids);
$sql="SELECT * FROM my_table WHERE id IN($ids);";
mysql_query($sql);

в противном случае, что не так с 

$ids = array(2,4,6,8);
foreach($ids as $id) {
    $sql="SELECT * FROM my_table WHERE ID = $id;";
    mysql_query($sql);
}
1 голос
/ 01 декабря 2008 
$values_filtered = array_filter('is_int', $values);
if (count($values_filtered) == count($values)) {
    $sql = 'update table set attrib = 'something' where someid in (' . implode(',', $values_filtered) . ');';
    //execute
} else {
    //do something
}
1 голос
/ 01 декабря 2008

Аминь в комментарии Томалака к заявлениям.

Однако, если вы не хотите использовать mysqli, вы всегда можете использовать intval () для предотвращения внедрения: 

$ids  = array(2, 4, 6, 8);
for ($i = 0; $i < count($ids); $i++)
{
    mysql_query("UPDATE MyTable SET LastUpdated = GETDATE() WHERE id = " . intval($ids[$i]));
}
0 голосов
/ 01 декабря 2008

Вы можете сделать что-то вроде следующего, однако вам нужно ОЧЕНЬ быть осторожным, чтобы массив содержал только целые числа, иначе вы можете получить SQL-инъекцию.

Вы действительно не хотите делать несколько запросов, чтобы получить контент, если вы можете помочь ему. Нечто подобное может быть тем, что вы ищете. 

foreach ($array as $key = $var) {
   if ((int) $var <= 0) {
       unset($array[$key]);
   }
}


$query = "SELECT * 
from content 
WHERE contentid IN ('".implode("','", $array)."')";

$result = mysql_query($query);
Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...