Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: bindValue(), prepare()
Forum PHP.pl > Forum > Bazy danych > MySQL
Hfastmet
27.04.2010, 19:51:54
Witam szanowną brać programistyczną!

Od dłuższego czasu zastanawiam się i nie mogę znaleźć rozwiązania następującej kwestii.

Otóż mam np. taki wycinek kodu:

[PHP] pobierz, plaintext 
  1. $this->zapytanie = $this->connect->prepare('SELECT `Plac` 
  2.                                                                   FROM `stock`
  3.                                                                   WHERE `login` =:login
  4.                                                                   AND `village_id` =:village_id');
  5.  
  6.         $this->zapytanie->bindValue('login', $this->user, PDO::PARAM_STR);
  7.         $this->zapytanie->bindValue('village_id', $this->village_id, PDO::PARAM_STR);
  8.  
  9.         $this->zapytanie->execute();
[PHP] pobierz, plaintext


jak widać, wpisane jest "na sztywno" pole (`Plac`), tabela(`stock`), lewa część warunku (`login`, `village_id`) , a podpinam prawą część warunku, która zmienia się zależnie od właściwości, czyli $this->user i $this->village_id.

Teraz pytanie.

Czy istnieje jakakolwiek metoda by podpinać również pole lub/i tabelę lub/i warunek itp?

czyli coś takiego (to oczywiście nie działa):

[PHP] pobierz, plaintext 
  1. $this->zapytanie = $this->connect->prepare('SELECT :pole 
  2.                                                                   FROM :tabela
  3.                                                                   WHERE :co =:login
  4.                                                                   AND :kolejne_co =:village_id');
  5.  
  6.         $this->zapytanie->bindValue('pole', $this->pole, PDO::PARAM_STR);
  7.         $this->zapytanie->bindValue('tabela', $this->tabela, PDO::PARAM_STR);
  8.         $this->zapytanie->bindValue('co', $this->co, PDO::PARAM_STR);
  9.         $this->zapytanie->bindValue('kolejne_co', $this->kolejne_co, PDO::PARAM_STR);
  10.         $this->zapytanie->bindValue('login', $this->user, PDO::PARAM_STR);
  11.         $this->zapytanie->bindValue('village_id', $this->village_id, PDO::PARAM_STR);
  12.  
  13.         $this->zapytanie->execute();
  14.  
[PHP] pobierz, plaintext
nospor
27.04.2010, 19:53:50
Nie binduje się nazw pól ani nazw tabel. Binduje się jedynie wartosci
Hfastmet
27.04.2010, 19:56:03
OK, a czy jest jakaś możliwość by nie wpisywać tabeli oraz pól na sztywno tylko wykonywać to dynamicznie?
nospor
27.04.2010, 19:57:13 
[PHP] pobierz, plaintext 
  1. $tabela = 'stock';
  2. $this->zapytanie = $this->connect->prepare('SELECT `Plac` 
  3.                                                                   FROM `'.$tabela.'`
  4.                                                                   WHERE `login` =:login
  5.                                                                   AND `village_id` =:village_id');
[PHP] pobierz, plaintext

smile.gif
Hfastmet
27.04.2010, 19:59:40
Właśnie o coś takiego chodziło smile.gif

zaraz sprawdzę, jak zadziała klikam "Pomógł" smile.gif)
Mchl
27.04.2010, 20:33:00
Zadziałać zadziała, ale musisz teraz dbać o to, żeby przez tą zmienną nie wlazł Ci jakiś SQL injection.
Hfastmet
27.04.2010, 21:35:32
OK, działa, dużo kodu mi zaoszczędziłeś smile.gif

Co do SQL Injection, pola mam prywatne i ustawiam setterem, chyba nie powinno się nic dziać?
Mchl
27.04.2010, 22:47:36
Jeśli w jakikolwiek sposób ta zmienna może zostać ustawiona przez użytkownika, zabezpiecz ją.
Wyobraź sobie, że ktoś znajdzie sposób, żeby wpisać tam:
Kod
$tabela = 'stock` CROSS JOIN stock CROSS JOIN stock CROSS JOIN stock CROSS JOIN stock CROSS JOIN stock --';
Hfastmet
28.04.2010, 09:16:30
Użytkownik ogląda tylko wyniki, nie ma możliwości ustawienia tego w żaden sposób.

Ale dzięki za sugestie.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.