动态准备陈述是否不好? (用php mysqli)

前端之家收集整理的这篇文章主要介绍了动态准备陈述是否不好? (用php mysqli)前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我喜欢Dynamic sql的灵活性,我喜欢Prepared Statements的安全性改进性能.所以我真正想要的是动态准备语句,这很麻烦,因为bind_param和bind_result接受“固定”数量的参数.所以我使用了一个eval()语句来解决这个问题.但我觉得这是一个坏主意.这是我的意思的示例代码
  1. // array of WHERE conditions
  2. $param = array('customer_id'=>1,'qty'=>'2');
  3. $stmt = $MysqLi->stmt_init();
  4.  
  5. $types = ''; $bindParam = array(); $where = ''; $count = 0;
  6.  
  7. // build the dynamic sql and param bind conditions
  8. foreach($param as $key=>$val)
  9. {
  10. $types .= 'i';
  11. $bindParam[] = '$p'.$count.'=$param["'.$key.'"]';
  12. $where .= "$key = ? AND ";
  13. $count++;
  14. }
  15.  
  16. // prepare the query -- SELECT * FROM t1 WHERE customer_id = ? AND qty = ?
  17. $sql = "SELECT * FROM t1 WHERE ".substr($where,strlen($where)-4);
  18. $stmt->prepare($sql);
  19.  
  20. // assemble the bind_param command
  21. $command = '$stmt->bind_param($types,'.implode(',',$bindParam).');';
  22.  
  23. // evaluate the command -- $stmt->bind_param($types,$p0=$param["customer_id"],$p1=$param["qty"]);
  24. eval($command);

最后一个eval()语句是个坏主意吗?我试图通过在变量名$param后面封装值来避免代码注入.

有没有人有意见或建议?我需要注意哪些问题?

我认为在这里使用eval()是危险的.

试试这个:

>迭代params数组以构建带有问号的SELECT字符串“SELECT * FROM t1 WHERE p1 =?AND p2 =?”
>调用prepare()就可以了
>使用call_user_func_array()调用bind_param(),传入动态params数组.

代码

  1. call_user_func_array(array($stmt,'bind_param'),array($types)+$param);

猜你在找的PHP相关文章