自动将参数添加到 get_results()

Question

我想调用方法$wpdb->get_results()， 我需要在 SQL 查询中添加参数（WHERE 子句）。 问题是，我想构建一个通用函数，它将接收一个参数对象并生成一个包含我的参数的 SQL 查询。

例如，如果这是我的基本查询：

$taxis = $wpdb->get_results("SELECT * FROM $table", ARRAY_A); // base query

这些是我的参数：

$params = array(
  'color' => 'blue',
  'model' => 'ford'
);

它将使用以下查询调用 get_results：

SELECT * FROM $table WHERE color='blue' AND model='ford';

有没有办法构建具有这种行为的函数？

*注意事项：

1. 我不知道参数对象中有多少参数，也不知道它们将是哪些参数（这就是为什么它必须是通用的）。

2. 我知道，（就我而言）我需要的唯一 SQL 子句是 WHERE =。

Answer 1

查看代码 cmets 了解每个步骤中发生的情况：

<?php

// make sure this doesn't come from user input, as it is inserted into the query directly
$tableName = $wpdb->prefix . "yourtable";

$columnWhitelist = array( 'color', 'model' );

$params = array(
    'color' => 'blue',
    'model' => 'ford'
);

// filter param keys by allowed column names defined in $columnWhitelist
$params = array_filter(
    $params,
    function ( $key ) use ( $columnWhitelist )  {
        return in_array( $key, $columnWhitelist );
    },
    ARRAY_FILTER_USE_KEY
);

$whereClauseParts = array();

// put column/value pairs of $params into $placeholderValues array
$placeholderValues = array();
foreach ( $params as $column => $value) {
    $whereClauseParts[] = "`$column` = %s";
    $placeholderValues[] = $value;
}

// put together the WHERE clause with placeholders
$whereClause = implode(' AND ', $whereClauseParts );

// put together the whole query tring
$queryString = "SELECT * FROM `$tableName` WHERE " . $whereClause;

// you can use this to see what your prepared query will roughly look like,
// but with missing single quotes around the values 
// die( vsprintf(
//     $queryString,
//     $placeholderValues
// ) );

$wpdb->get_results(
    $wpdb->prepare(
        $queryString,
        $placeholderValues
    )
);