将数组从 js 发送到 php 到 SQL 数据库

Question

我希望我在这里遗漏了一些简单的东西。

我在 js 中创建了一个数组，比如：var ids = [1,2,3,4,5];

现在我希望这个数组在我的 SQL 数据库表中填充一列。

我有这样的管道设置，用于将单个元素添加到我的表中：

1. 请求通过 ajax 发送：

$.ajax({
  type: "POST",
  url: "some.php",
  data: {
    ids: ids,
  }
});

1. some.php接收数据（连接等已建立）：

$ids = $_POST['ids'];

1. SQL 用于向列 COL_ID 插入单个值

$sql = "INSERT INTO `mydb`.`dbtable`(`COL_ID`) VALUES ('$ids)";

此管道适用于单个值（例如 ids = 2，但不适用于数组。

我想要COL_ID 将每个数组元素包含为一行

| COL_ID    |
|--------   |
| 1         |
| 2         |
| 3         |
| 4         |
| 5         |

我怀疑它在 SQL 查询中。欢迎任何帮助。

Answer 1

首先，使用准备好的语句，不要将发布数据直接插入到数据库查询中。直接使用 post 数据意味着您容易受到 sql 注入攻击。

正如@DanielReed 指出的，正确的格式是

INSERT INTO table_name (column_list) VALUES (value_list_1), (value_list_2), (value_list_3);

您可以动态构建它：

$ids = $_POST['ids'];
// Make sure we get the correct number of ? for prepared statements
$params = str_repeat('(?), ', count($ids));
// Strip the trailing space and comma
$params = substr($params, 0, -2);

$sql = 'INSERT INTO `mydb`.`dbtable`(`COL_ID`) VALUES ' . $params;

现在您可以使用 $sql 作为查询，使用 $ids 作为准备好的语句的值。这样可以防止 sql 注入。

Answer 2

PHP 将其作为数组接收。

SQL 语法希望它采用以下语法：

INSERT INTO table_name (column_list)
VALUES
    (value_list_1),
    (value_list_2),
    ...
    (value_list_n);

所以你可以做的是：

$sql = "INSERT INTO `mydb`.`dbtable`(`COL_ID`) ";
foreach($ids as $value){
     $sql .= "(".$value.") ";
}