带有动态参数的动态SELECT mysqli查询返回错误&;t与绑定变量的数量不匹配
我尝试使用动态WHERE子句和动态参数创建SELECT查询,但总是收到错误:
警告:mysqli_stmt::bind_param():类型中的元素数 定义字符串与绑定变量数不匹配
我真的不明白,因为看起来伯爵没事。因此,这就是代码在其粗糙格式中的真实外观。我看不出我做错了什么。
//get variables
$mediaArray ='Facebook,Twitter,Twitch,';
$otherMedia = 'House';
//convert string to array
$socialArray = explode(',', $mediaArray)
//declare some variables to be used later
$andwhere = '';
$bp = '';
$socialmarray = ''
//get every value from array of social media
foreach($socialArray as $socialmedia){
$socialmarray .=$socialmedia.',';
$andwhere .= " AND socialmedianame=?";
$bp .='s';
}
//test strings
echo $wheres = $andwhere;//AND socialmedianame=? AND socialmedianame=? AND socialmedianame=?
echo $bip = $bp.'s';//ssss
echo $validarayy = rtrim($socialmarray,',');//Facebook,Twitter,Twitch
//select query
$selectquery = $conn->prepare("select * from mediaservices where socialmedianame=? $wheres");
$selectquery->bind_param("$bip",$otherMedia,$validarayy);
$selectquery->execute();
$resultquery = $selectquery->get_result();
解决方案
原因:
- 您正在使用用户提供的数据,您必须假设您的查询容易受到恶意注入攻击,并且
- 要构建到查询中的数据量是可变的/不确定的,
- 您仅对单个表列编写条件检查
您应该使用预准备语句,并将所有WHERE子句逻辑合并到单个IN语句中。
构建此动态预准备语句比使用PDO更复杂(就语法而言),但这并不意味着您需要仅仅因为此任务而放弃mysqli。
$mediaArray ='Facebook,Twitter,Twitch,';
$otherMedia = 'House';
$media = array_unique(explode(',', $mediaArray . $otherMedia));
$count = count($media);
$conn = new mysqli("localhost", "root", "", "myDB");
$sql = "SELECT * FROM mediaservices";
if ($count) {
$stmt = $conn->prepare("$sql WHERE socialmedianame IN (" . implode(',', array_fill(0, $count, '?')) . ")");
$stmt->bind_param(str_repeat('s', $count), ...$media);
$stmt->execute();
$result = $stmt->get_result();
} else {
$result = $conn->query($sql);
}
foreach ($result as $row) {
// access values like $row['socialmedianame']
}
寻找类似动态查询技术的任何人:
SELECTwith dynamic number ofLIKEconditionsINSERTdynamic number of rows with oneexecute()call
相关文章