Witam.
Jestem w trakcie nauki obsługi zapytań za pomocą PDO. Posiadam pewną klase wspomagającą, która fajnie się sprawdza przy operacjach INSERT i UPDATE.

Mam problem z wykonaniem zwykłego zapytania SQL w którym doklejam ze zmiennej kawałek kodu w zależności od potrzeb.

Otrzymuje błąd, że zapytanie jest niepoprawne,:
SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' ORDER BY z.id DESC LIMIT 100' at line 1

[PHP] pobierz, plaintext 
 
$sql_kat_id = '';
//NASZ DODATKOWY ELEMENT ZAPYTANIA 
 
if (!empty($_GET['z'])) { 
    if (is_array($_GET['z'])) { 
 
        if ( count($_GET['z']) > 1) { //jesli pare kategorii
            $sql_kat_id = " AND z.kat_id IN (".ltrim(implode(',',$_GET['z']),',').") ";
        } else { //jesli jedna kategoria
            $sql_kat_id = " AND z.kat_id = ".(int)trim($_GET['z'][0])." ";
        }
 
    } else { //jesli jedna kategoria
        $sql_kat_id = " AND z.kat_id =".(int)trim($_GET['z'])." ";
    }
}
 
 
$pdo = new DB;
$pdo->setParameters($dbhost, $dbname, $dbuser, $dbpass);
$pdo->setTablePrefix($dbprefix);
$pdo->setCharset($config["encoding"]);
 
try { 
    $sqlQuery = "SELECT k.*, z.* FROM ".$dbprefix."blog_art z, ".$dbprefix."blog_kat k WHERE z.user_id=k.user_id AND z.active =1 :kat_id ORDER BY z.id DESC LIMIT 100;";
 
    $stmt = DB::getInstance()->prepare($sqlQuery);
    $stmt->bindValue(':kat_id', $sql_kat_id, PDO::PARAM_STR); 
    $stmt->execute();
    $result = $stmt->fetchAll();
 
    print_r($result);
    $stmt = null;
 
} catch(PDOException $e) { 
    echo $e->getMessage();
} 
 
 
[PHP] pobierz, plaintext 

Czy można w takie sposób za pomocą BindValue wklejać całe kawałki kodu, czy nie jest taki kod realizowany?

Bindowanie sluzy wkladaniu wartosci do zapytania a nie calych kawalkow zapytan

Dobrze rozumie.

Czy poniższy zapis jest poprawny, czy jeszcze szukać innego sposobu?

[PHP] pobierz, plaintext 
$sql_kat_id = '';
 
if (!empty($_GET['z'])) { 
    if (is_array($_GET['z'])) { 
 
        if ( count($_GET['z']) > 1) { //jesli pare kategorii
            $sql_kat_id = " AND z.kat_id IN (:kat_id) ";
            $sql_kat_id_bind = ltrim(implode(',',$_GET['z']),',');
        } else { //jesli jedna kategoria
            $sql_kat_id = " AND z.kat_id = :kat_id ";
            $sql_kat_id_bind = (int)trim($_GET['z'][0]);
        }
 
    } else { //jesli jedna kategoria
        $sql_kat_id = " AND z.kat_id=:kat_id ";
        $sql_kat_id_bind = (int)trim($_GET['z']);
    }
}
 
 
try { 
    $sqlQuery = "SELECT k.*, z.* FROM ".$dbprefix."blog_art z, ".$dbprefix."blog_kat k WHERE z.user_id=k.user_id AND z.active =1 ".$sql_kat_id." ORDER BY z.id DESC LIMIT 100;";
 
    $stmt = DB::getInstance()->prepare($sqlQuery);
    $stmt->bindValue(':kat_id', $sql_kat_id_bind, PDO::PARAM_STR); 
    $stmt->execute();
    $result = $stmt->fetchAll();
 
    print_r($result);
    $stmt = null;
 
} catch(PDOException $e) { 
    echo $e->getMessage();
} 
[PHP] pobierz, plaintext 

Działa?

Narazie ułożyłem na forum, zaraz bede testował.

Oczywiście że ci nie zadziała bo bindujesz cały ciąg 1,2,3 zamiast poszczególnych wartości.
https://prophp.pl/advice/show/15/jak_skasow...ola_checkbox%3F

W sumie po to się się binduje , żeby nie wklejać ze zmiennej dodatkowy kod i zabezpieczenie usuwa potencjalnie niebezpieczny kod, czyli taki co może wpłynąć na wygląd zapytania.

Mój drugi kod, który podałem działa. Czyli najpierw zmienną wklejam części kodu a później binduje konkretną wartość.

A testowales to dla kilku kategorii czy zawsze tylko dla jednej?

Inna sprawa ze w takim przypadku jak tutaj nie ma sensu sie bawic w zadne bindowanie. Masz zwykle liczby do wlozenia wiec rzutujesz na INT kazda po kolei i wkldasz normalnie do zapytania jako tekst

[PHP] pobierz, plaintext 
' AND z.kat_id IN (' . str_repeat('?,', count($_GET['z']) - 1) . '?)';
// nic już nie bindujesz
$stmt->execute($_GET['z']); // zakładam, że $_GET['z'] jest zwalidowane
[PHP] pobierz, plaintext