所以我有一个应该处理所有数据执行操作的函数:sql
function loadResult($sql)
{
$this->connect();
$sth = mysql_query($sql);
$rows = array();
while($r = mysql_fetch_object($sth)) {$rows[] = $r;}
$this->disconnect();
return $rows;
}
我想将它转换为pdo,这是我到目前为止:pdo
function loadResult($sql)
{
$this->connect();
$sth = $this->con->prepare($sql);
//execute bind values here
$sth->execute();
$rows = array();
while ( $r = $sth->fetch(PDO::FETCH_OBJ) ) {$rows[] = $r;}
$this->disconnect();
return $rows;
}
以下是关于如何使用它来查看数据库中数据的函数示例:
function viewtodolist()
{
$db=$this->getDbo(); //connect to database
$sql="SELECT * FROM mcms_todolist_tasks";
//maybe the bind values are pushed into an array and sent to the function below together with the sql statement
$rows=$db->loadResult($sql);
foreach($rows as $row){echo $row->title; //echo some data here }
}
我刚刚提取了重要的片段,因此一些变量和方法来自其他php类。不知何故,mysql查询工作正常,但PDO查询让我头疼,如何在 viewtodolist()函数中包含bindValue参数,以使其可重用。欢迎任何建议/建议。
答案 0 :(得分:0)
由于现有函数接受完整格式的SQL字符串,没有占位符,因此您无需使用prepare + bind。您编写的代码应该可以正常工作,或者您可以使用PDO::query()一步执行SQL。
如果您想使用参数化查询,那么您的loadResult函数将不得不改变一下,就像编写SQL一样。您提供的示例SQL实际上没有任何内容可以转换为参数(column names and table names can't be parameters as discussed here),但我将使用虚构的变体:
// Get the todo tasks for a particular user; the actual user ID is a parameter of the SQL
$sql = "SELECT * FROM mcms_todolist_tasks WHERE user_id = :current_user_id";
// Execute that SQL, with the :current_user_id parameter pulled from user input
$rows = $db->loadResult($sql, array(':current_user_id' => $_GET['user']));
这是将用户输入放入查询的一种很好的安全方式,因为MySQL知道哪些部分是参数,哪些部分是SQL本身,而SQL部分没有任何人可以干扰的变量。
使用现有loadResult函数实现此功能的最简单方法是:
// Function now takes an optional second argument
// if not passed, it will default to an empty array, so existing code won't cause errors
function loadResult($sql, $params=array())
{
$this->connect();
$sth = $this->con->prepare($sql);
// pass the parameters straight to the execute call
$sth->execute($params);
// rest of function remains the same...
您可以使用参数化查询进行更聪明的操作 - 例如将变量绑定到输出参数,准备一次查询并使用不同的参数多次执行 - 但这些将需要对调用代码的工作方式进行更多更改。