Come includere una variabile PHP all'interno di un'istruzione MySQL

Le regole per aggiungere una variabile PHP all'interno di qualsiasi istruzione MySQL sono chiare e semplici:

1. Qualsiasi variabile che rappresenta un valore letterale di dati SQL , (o, per dirla semplicemente, una stringa SQL o un numero) DEVE essere aggiunto tramite un'istruzione preparata. Nessuna eccezione.
2. Qualsiasi altra parte della query, come una parola chiave SQL, una tabella o un nome di campo o un operatore, deve essere filtrata tramite una lista bianca .

Quindi, poiché il tuo esempio coinvolge solo valori letterali di dati, tutte le variabili devono essere aggiunte tramite segnaposto (chiamati anche parametri). Per farlo:

• Nella tua istruzione SQL, sostituisci tutte le variabili con segnaposto
• preparare la query risultante
• legare variabili ai segnaposto
• esegui la domanda

Ed ecco come farlo con tutti i driver di database PHP più diffusi:

Aggiunta di valori letterali di dati utilizzando mysql ext

Tale driver non esiste .

Aggiunta di valori letterali di dati utilizzando mysqli

$type = 'testing';
$reporter = "John O'Hara";
$query = "INSERT INTO contents (type, reporter, description) 
             VALUES(?, ?, 'whatever')";
$stmt = $mysqli->prepare($query);
$stmt->bind_param("ss", $type, $reporter);
$stmt->execute();

Il codice è un po' complicato ma la spiegazione dettagliata di tutti questi operatori può essere trovata nel mio articolo, Come eseguire un INSERT query utilizzando Mysqli , oltre a una soluzione che semplifica notevolmente il processo.

Per una query SELECT dovrai aggiungere solo una chiamata a get_result() metodo per ottenere un familiare mysqli_result da cui puoi recuperare i dati nel solito modo:

$reporter = "John O'Hara";
$stmt = $mysqli->prepare("SELECT * FROM users WHERE name=?");
$stmt->bind_param("s", $reporter);
$stmt->execute();
$result = $stmt->get_result();
$row = $result->fetch_assoc(); // or while (...)

Aggiunta di valori letterali di dati utilizzando PDO

$type = 'testing';
$reporter = "John O'Hara";
$query = "INSERT INTO contents (type, reporter, description) 
             VALUES(?, ?, 'whatever')";
$stmt = $pdo->prepare($query);
$stmt->execute([$type, $reporter]);

In PDO, possiamo combinare le parti di rilegatura ed esecuzione, il che è molto conveniente. PDO supporta anche i segnaposto denominati che alcuni trovano estremamente convenienti.

Aggiunta di parole chiave o identificatori

A volte dobbiamo aggiungere una variabile che rappresenta un'altra parte di una query, come una parola chiave o un identificatore (un database, una tabella o un nome di campo). È un caso raro ma è meglio essere preparati.

In questo caso, la tua variabile deve essere confrontata con un elenco di valori esplicitamente scritto nella tua sceneggiatura. Questo è spiegato nel mio altro articolo, Aggiunta di un nome di campo nella clausola ORDER BY in base alla scelta dell'utente :

$orderby = $_GET['orderby'] ?: "name"; // set the default value
$allowed = ["name","price","qty"]; // the white list of allowed field names
$key = array_search($orderby, $allowed, true); // see if we have such a name
if ($key === false) { 
    throw new InvalidArgumentException("Invalid field name"); 
}

$direction = $_GET['direction'] ?: "ASC";
$allowed = ["ASC","DESC"];
$key = array_search($direction, $allowed, true);
if ($key === false) { 
    throw new InvalidArgumentException("Invalid ORDER BY direction"); 
}

$query = "SELECT * FROM `table` ORDER BY `$orderby` $direction";