Значения привязки PDO для оператора MySQL IN

Question

Значения привязки PDO для оператора MySQL IN

У меня есть проблема с PDO, на которую я действительно хотел бы получить ответ после того, как меня мучили в течение довольно долгого времени.

Возьмите этот пример:

Я связываю массив идентификаторов с оператором PDO для использования в операторе MySQL IN.

Массив будет выглядеть так: $ values = array(1,2,3,4,5,6,7,8);

Безопасная для базы данных переменная будет $products = implode(',' $values);

Таким образом, $ products будет тогда STRING со значением: '1,2,3,4,5,6,7,8'

Заявление будет выглядеть так:

SELECT users.id
FROM users
JOIN products
ON products.user_id = users.id
WHERE products IN (:products)

Конечно, $ products будет связан с оператором как : products.

Однако, когда оператор скомпилирован и значения связаны, это будет выглядеть так:

SELECT users.id
FROM users
JOIN products
ON products.user_id = users.id
WHERE products IN ('1,2,3,4,5,6,7,8')

Проблема в том, что он выполняет все внутри оператора IN в виде одной строки, учитывая, что я подготовил его как разделенные запятыми значения для привязки к оператору.

Что мне действительно нужно, это:

SELECT users.id
FROM users
JOIN products
ON products.user_id = users.id
WHERE products IN (1,2,3,4,5,6,7,8)

Единственный способ, которым я могу это сделать, - это поместить значения в самой строке, не связывая их, однако я точно знаю, что для этого должен быть более простой способ.

76

php mysql pdo sql-in

Источник

user192165 19 окт '09 в 01:29

8 ответов

Решение

Хороший способ справиться с этой ситуацией - использовать str_pad разместить ? для каждого значения в запросе SQL. Затем вы можете передать массив значений (в вашем случае $values) в качестве аргумента для выполнения:

$sql = '
SELECT users.id
FROM users
JOIN products
ON products.user_id = users.id
WHERE products.id IN ('.str_pad('',count($values)*2-1,'?,').')
';

$sth = $dbh->prepare($sql);
$sth->execute($values);
$user_ids = $sth->fetchAll();

Таким образом, вы получите больше преимуществ от использования подготовленных операторов, а не от вставки значений непосредственно в SQL.

PS - Результаты будут возвращать дубликаты пользовательских идентификаторов, если продукты с данными идентификаторами будут иметь идентификаторы пользователей. Если вам нужны только уникальные идентификаторы пользователей, я предлагаю изменить первую строку запроса на SELECT DISTINCT users.id

28

Источник

user729759 13 авг '12 в 15:15

Вам нужно указать то же число ?s в IN, что и количество значений в вашем массиве $values

это можно легко сделать, создав массив?s как

 $in = join(',', array_fill(0, count($values), '?'));

и использовать этот $ в массиве в вашем предложении IN

Это динамически предоставит вам индивидуальный массив ? S согласно вашему изменяющемуся массиву $values

10

Источник

user3286425 08 сен '14 в 04:47

Лучше всего подготовленное утверждение, которое вы, вероятно, могли бы придумать в такой ситуации, напоминает следующее:

SELECT users.id
FROM users
JOIN products
ON products.user_id = users.id
WHERE products IN (?,?,?,?,?,?,?,?)

Затем вы перебираете свои значения и привязываете их к подготовленному утверждению, следя за тем, чтобы количество знаков вопроса было таким же, как и у значений, которые вы связываете.

10

Источник

user166339 19 окт '09 в 01:50

Вы можете сделать это очень легко. Если у вас есть массив значений для вашего оператора IN() EG:

$test = array(1,2,3);

Вы можете просто сделать

$test = array(1,2,3);
$values = count($test);
$criteria = sprintf("?%s", str_repeat(",?", ($values ? $values-1 : 0)));
//Returns ?,?,?
$sql = sprintf("DELETE FROM table where column NOT IN(%s)", $criteria);
//Returns DELETE FROM table where column NOT IN(?,?,?)
$pdo->sth = prepare($sql);
$pdo->sth->execute($test);

3

Источник

user800176 09 янв '12 в 18:07

Если выражение основано на пользовательском вводе без привязки значений с помощью bindValue(), экспериментальный SQL может оказаться не лучшим выбором. Но вы можете сделать это безопасно, проверив синтаксис ввода с помощью MySQL REGEXP.

Например:

SELECT *
FROM table
WHERE id IN (3,156)
AND '3,156' REGEXP '^([[:digit:]]+,?)+$'

1

Источник

user1766684 22 окт '12 в 21:29

Вот пример привязки неизвестного количества столбцов записи к значениям для вставки.

public function insert($table, array $data)
{
    $sql = "INSERT INTO $table (" . join(',', array_keys($data)) . ') VALUES ('
        . str_repeat('?,', count($data) - 1). '?)';

    if($sth = $this->db->prepare($sql))
    {
        $sth->execute(array_values($data));
        return $this->db->lastInsertId();
    }
}

$id = $db->insert('user', array('name' => 'Bob', 'email' => 'foo@example.com'));

1

Источник

user99923 24 ноя '12 в 20:09

Пожалуйста, попробуйте так:

WHERE products IN(REPLACE(:products, '\'', ''))

С уважением

-1

Источник

user3783375 27 июн '14 в 13:38

Другие вопросы по тегам php mysql pdo sql-in

user151292 19 окт '09 в 01:52 2009-10-19 01:52 · Accepted Answer · 2009-10-19 01:52

Это то же самое, что было задано в этом вопросе: могу ли я связать массив с условием IN()?

Ответ был таков: для списка переменного размера в in пункт, вам нужно будет построить запрос самостоятельно.

Однако вы можете использовать список в кавычках, разделенный запятыми, используя find_in_set хотя для больших наборов данных это окажет значительное влияние на производительность, поскольку каждое значение в таблице должно быть приведено к типу char.

Например:

select users.id
from users
join products
on products.user_id = users.id
where find_in_set(cast(products.id as char), :products)

Или, в качестве третьего варианта, вы можете создать пользовательскую функцию, которая разделяет разделенный запятыми список для вас (см. http://www.slickdev.com/2008/09/15/mysql-query-real-values-from-delimiter-separated-string-ids/). Это, вероятно, лучший вариант из трех, особенно если у вас много запросов, которые полагаются на in(...) статьи.