我可以用数组和 foreach 循环做 PDO 准备语句吗

Question

所以我合法地开始阅读有关 PDO 和 PDO 状态的信息，以更新我的代码并为其提供更高的安全性，但我真的不知道这是否可行或是否可以进行注入。我还在制作数组之前对数据进行了清理。我做了这个函数o添加数据给定名称表和一个具有列名称和值的数组，如下所示

$tabla = 'tabla'
$datos = array(
        'id' => 'NULL',
        'id_usuario' => "'{$usuario['id']}'",
        'id_tipo' => "'{$tipo}'",
        'id_estado' => "'{$estado}'",
        'id_visibilidad' => "'{$visibilidad}'",
        'titulo' => "'{$titulo}'",
        'contenido' => "'{$contenido}'",
        'fecha' => 'CURRENT_TIMESTAMP'
      );

function pdo_agregar($tabla, $datos) {
  global $pdo;
  $columnas = implode(', ', array_keys($datos));
  $valores = implode(', ', array_values($datos));
  $sentencia = $pdo->prepare("INSERT INTO $tabla ($columnas) VALUES ($valores)");
  foreach($datos as $indice => $valor) {
    $sentencia->bindParam(':'.$indice, $valor);
  }
  if($sentencia->execute()) {
    return true;
  } else {
    return false;
  }
  $sentencia->close();
  $pdo->close();
}

这样好吗？ o 我必须做出类似的陈述吗

$sentencia = $pdo->prepare("INSERT INTO $tabla (col, col2, col3) 值 (:col, :col2, :col3");

然后单独绑定参数？

提前致谢！

Answer 1

你不需要这些绑定的东西，你可以直接抛出一个数组给 PDO 的执行函数（它为你做这个绑定）。

我的数组如下["data" => "mydata", "data2" = "mysecond"]，所以我会生成如下查询：

INSERT INTO `Tab`(`data`, `data2`) VALUES (:data, :data2)

代码是：

        foreach($data as $key=>$val){
            $keys[] = $key;
            $vals[] = ":".$key;
        }
        $keys = "`".implode("`,`", $keys)."`";
        $vals = implode(",", $vals);
        $sql = "INSERT INTO `".$tab."`(".$keys.") VALUES (".$vals.")";
        $prep_insert = $this->pdo->prepare($sql);
        $prep_insert->execute($data);

顺便说一句，你应该使用 classes 和 this，而不是 this 全局的东西。