我可以将数组绑定到IN()条件吗?


562

我很好奇是否可以使用PDO将值数组绑定到占位符。这里的用例正在尝试传递值数组以与IN()条件一起使用。

我希望能够执行以下操作:

<?php
$ids=array(1,2,3,7,8,9);
$db = new PDO(...);
$stmt = $db->prepare(
    'SELECT *
     FROM table
     WHERE id IN(:an_array)'
);
$stmt->bindParam('an_array',$ids);
$stmt->execute();
?>

并让PDO绑定并引用数组中的所有值。

目前,我正在做:

<?php
$ids = array(1,2,3,7,8,9);
$db = new PDO(...);
foreach($ids as &$val)
    $val=$db->quote($val); //iterate through array and quote
$in = implode(',',$ids); //create comma separated list
$stmt = $db->prepare(
    'SELECT *
     FROM table
     WHERE id IN('.$in.')'
);
$stmt->execute();
?>

当然可以完成这项工作,但是只是想知道我是否缺少内置解决方案?


3
有关将数组绑定到IN()条件的完整指南,包括查询中有其他占位符的情况
您的常识

该问题已被复制为该问题的重复。我扭转重复标记的原因是,此问题的年龄大了4岁,具有4倍的观看次数,3倍的答案数量和12倍的分数。显然,这是优越的目标。
miken32

任何在2020年看到此内容的人:您可以尝试github.com/morris/dop
morris4

Answers:


262

我认为soulmerge是正确的。您将必须构造查询字符串。

<?php
$ids     = array(1, 2, 3, 7, 8, 9);
$inQuery = implode(',', array_fill(0, count($ids), '?'));

$db = new PDO(...);
$stmt = $db->prepare(
    'SELECT *
     FROM table
     WHERE id IN(' . $inQuery . ')'
);

// bindvalue is 1-indexed, so $k+1
foreach ($ids as $k => $id)
    $stmt->bindValue(($k+1), $id);

$stmt->execute();
?>

解决:丹,你是对的。修复了代码(虽然没有测试)

编辑:克里斯(评论)和somebodyisintrouble都建议foreach循环...

(...)
// bindvalue is 1-indexed, so $k+1
foreach ($ids as $k => $id)
    $stmt->bindValue(($k+1), $id);

$stmt->execute();

...可能是多余的,因此foreach循环和$stmt->execute可以被替换为...

<?php 
  (...)
  $stmt->execute($ids);
?>

(再次,我没有测试)


7
这是一个有趣的解决方案,虽然我更喜欢它遍历id并调用PDO :: quote(),但我认为'?'的索引 如果其他占位符首先出现在查询中的其他地方,占位符就会变得混乱,对吗?
安德鲁2009年

5
是的,那将是一个问题。但是在这种情况下,您可以创建命名参数而不是?。
Stefs

9
老问题,但值得一提的,我相信,就是$foreachbindValue()不要求-只要与阵列执行。例如:$stmt->execute($ids);
克里斯(Chris)

2
生成占位符应按以下步骤进行str_repeat('?,', count($array) - 1). '?';
Xeoncross 2012年

8
对于那些不知道的提示,您不能混合使用已命名和未命名的参数。因此,如果您在查询中使用命名参数,请将其切换为?,然后增加您的bindValue索引偏移量,以将IN?的位置与相对于其他?的位置相匹配。参数。
justinl 2014年

169

快速操作:

//$db = new PDO(...);
//$ids = array(...);

$qMarks = str_repeat('?,', count($ids) - 1) . '?';
$sth = $db->prepare("SELECT * FROM myTable WHERE id IN ($qMarks)");
$sth->execute($ids);

7
太好了,我没有想到以这种方式使用input_parameters参数。对于那些查询的参数比IN列表更多的查询,可以使用array_unshift和array_push将必要的参数添加到数组的开头和结尾。此外,我更喜欢 $input_list = substr(str_repeat(',?', count($ids)), 1);
orca 2012年

7
您也可以尝试str_repeat('?,', count($ids) - 1) . '?'。少调用一个函数。
orca 2012年

5
@erfling,这是一条准备好的语句,注入来自何处?如果您可以用一些实际的证据支持这一点,我将很乐意进行任何更正。
DonVaughn

5
@erfling,是的,这是正确的,并且绑定参数正是我们在此示例中通过发送executeID数组进行的操作
DonVaughn

5
真是的 不知何故错过了您要传递数组的事实。这确实确实是安全的,也是一个很好的答案。我很抱歉。
2015年

46

使用IN语句是如此重要吗?尝试使用FIND_IN_SETop。

例如,在PDO中有这样的查询

SELECT * FROM table WHERE FIND_IN_SET(id, :array)

然后,您只需要绑定一个用逗号填充的值数组,像这样

$ids_string = implode(',', $array_of_smth); // WITHOUT WHITESPACES BEFORE AND AFTER THE COMMA
$stmt->bindParam('array', $ids_string);

完成了。

UPD:正如某些人在对此答案的评论中指出的那样,应该明确指出一些问题。

  1. FIND_IN_SET不在表中使用索引,并且仍未实现-请在MYSQL错误跟踪器中查看此记录。感谢@BillKarwin的通知。
  2. 您不能使用内部带有逗号的字符串作为搜索数组的值。implode由于使用逗号符号作为分隔符,因此无法以正确的方式解析此类字符串。感谢@VaL提供的注释。

好的,如果您不很依赖索引,并且不使用带逗号的字符串进行搜索,那么与上面列出的解决方案相比,我的解决方案会更轻松,更简单,更快。


25
IN()可以使用索引,并计为范围扫描。FIND_IN_SET()不能使用索引。
比尔·卡温

1
这就是重点。我不知道 但是无论如何,对问题的表现没有任何要求。对于不那么大的表,它比使用具有不同数量的占位符的查询生成单独的类要好得多,也更干净。
Tim Tonkonogov,

11
是的,但是如今谁又没有那么大的桌子?;-)
Bill Karwin

3
这种方法的另一个问题是,如果里面有逗号,该怎么办?例如,... FIND_IN_SET(description,'simple,search')可以工作,但是FIND_IN_SET(description,'first value,text, with coma inside')会失败。因此,该功能将搜索 "first value", "text", "with coma inside" 而不是所需的"first value", "text, with coma inside"
VaL 2015年

33

由于我做了很多动态查询,因此这是我做的一个超级简单的辅助函数。

public static function bindParamArray($prefix, $values, &$bindArray)
{
    $str = "";
    foreach($values as $index => $value){
        $str .= ":".$prefix.$index.",";
        $bindArray[$prefix.$index] = $value;
    }
    return rtrim($str,",");     
}

像这样使用它:

$bindString = helper::bindParamArray("id", $_GET['ids'], $bindArray);
$userConditions .= " AND users.id IN($bindString)";

返回一个字符串:id1,:id2,:id3,并更新您$bindArray需要运行查询时所需的绑定。简单!


6
这是一个更好的解决方案,因为它不会破坏参数绑定规则。这比其他一些人建议的内联sql安全得多。
Dimitar Darazhanski 2015年

1
太棒了 优雅。完善。
Ricalsin

17

EvilRygy的解决方案对我不起作用。在Postgres中,您可以执行其他解决方法:


$ids = array(1,2,3,7,8,9);
$db = new PDO(...);
$stmt = $db->prepare(
    'SELECT *
     FROM table
     WHERE id = ANY (string_to_array(:an_array, ','))'
);
$stmt->bindParam(':an_array', implode(',', $ids));
$stmt->execute();

这不起作用:ERROR: operator does not exist: integer = text。至少您需要添加显式转换。
collimarco

17

postgres的一种非常干净的方法是使用postgres-array(“ {}”):

$ids = array(1,4,7,9,45);
$param = "{".implode(', ',$ids)."}";
$cmd = $db->prepare("SELECT * FROM table WHERE id = ANY (?)");
$result = $cmd->execute(array($param));

它阻止SQL注入?
法比奥(FábioZangirolami),

1
@FábioZangirolami这是PDO,是的。
ESCOBAR

是的,PDO!4年后。您的回应对我来说很好,非常简单有效。谢谢!!!
法比奥·赞吉罗拉米(FábioZangirolami)

14

这是我的解决方案:

$total_items = count($array_of_items);
$question_marks = array_fill(0, $total_items, '?');
$sql = 'SELECT * FROM foo WHERE bar IN (' . implode(',', $question_marks ). ')';

$stmt = $dbh->prepare($sql);
$stmt->execute(array_values($array_of_items));

注意使用array_values。这可以解决关键订购问题。

我正在合并ID数组,然后删除重复项。我有类似的东西:

$ids = array(0 => 23, 1 => 47, 3 => 17);

那是失败的。


这是一个极好的解决方案。它与构建查询字符串不同,它可以正确使用绑定。我强烈推荐这个。
Lindylead

注意:使用解决方案,您可以将项目添加到阵列的前面或后面,以便可以包括其他绑定。 $original_array 在原始数组之前添加项目:在原始数组 array_unshift($original_array, new_unrelated_item); 之后添加项目: array_push($original_array, new_unrelated_item); 绑定值后,new_unrelated项目将放置在正确的位置。这使您可以混合使用数组项和非数组项。`
Lindylead

12

我将PDO扩展为执行类似于Stefs建议的操作,从长远来看,对我来说更容易:

class Array_Capable_PDO extends PDO {
    /**
     * Both prepare a statement and bind array values to it
     * @param string $statement mysql query with colon-prefixed tokens
     * @param array $arrays associatve array with string tokens as keys and integer-indexed data arrays as values 
     * @param array $driver_options see php documention
     * @return PDOStatement with given array values already bound 
     */
    public function prepare_with_arrays($statement, array $arrays, $driver_options = array()) {

        $replace_strings = array();
        $x = 0;
        foreach($arrays as $token => $data) {
            // just for testing...
            //// tokens should be legit
            //assert('is_string($token)');
            //assert('$token !== ""');
            //// a given token shouldn't appear more than once in the query
            //assert('substr_count($statement, $token) === 1');
            //// there should be an array of values for each token
            //assert('is_array($data)');
            //// empty data arrays aren't okay, they're a SQL syntax error
            //assert('count($data) > 0');

            // replace array tokens with a list of value tokens
            $replace_string_pieces = array();
            foreach($data as $y => $value) {
                //// the data arrays have to be integer-indexed
                //assert('is_int($y)');
                $replace_string_pieces[] = ":{$x}_{$y}";
            }
            $replace_strings[] = '('.implode(', ', $replace_string_pieces).')';
            $x++;
        }
        $statement = str_replace(array_keys($arrays), $replace_strings, $statement);
        $prepared_statement = $this->prepare($statement, $driver_options);

        // bind values to the value tokens
        $x = 0;
        foreach($arrays as $token => $data) {
            foreach($data as $y => $value) {
                $prepared_statement->bindValue(":{$x}_{$y}", $value);
            }
            $x++;
        }

        return $prepared_statement;
    }
}

您可以像这样使用它:

$db_link = new Array_Capable_PDO($dsn, $username, $password);

$query = '
    SELECT     *
    FROM       test
    WHERE      field1 IN :array1
     OR        field2 IN :array2
     OR        field3 = :value
';

$pdo_query = $db_link->prepare_with_arrays(
    $query,
    array(
        ':array1' => array(1,2,3),
        ':array2' => array(7,8,9)
    )
);

$pdo_query->bindValue(':value', '10');

$pdo_query->execute();

1
我已经解决了Mark评论的第一部分,但是正如他指出的那样,如果:array在查询的字符串中包含类似的标记,仍然是不安全的。
克里斯,

4
给所有未来读者的注释:永远不要使用此解决方案。断言不适用于生产代码
您的常识

1
YCS:感谢您的反馈,对于您对断言的适用性之外的方法的看法感兴趣。
克里斯

1
这个想法是一样的,只是没有断言,而是更直接和更明确的方式-不仅是单个情况的例外,而且是构建每个查询的一般方式。每个占位符均标有其类型。它使猜测(如if (is_array($data))一个)变得不必要,但使数据处理方式更准确。
您的常识

1
对于任何阅读此评论的人:@Your常识中提到的问题已在修订版4中修复。
user2428118 2014年

11

查看 PDO:Predefined常量,没有PDOStatement-> bindParam中列出的PDO :: PARAM_ARRAY

bool PDOStatement :: bindParam(混合$ parameter,混合&$ variable [,整数$ data_type [,整数$ length [,混合$ driver_options]]])

因此,我认为这是无法实现的。


1
我不知道那行不通。我猜内爆的字符串被引用了。
soulmerge

2
没错,引号会转义,这样就行不通了。我已经删除了该代码。

11

当您有其他参数时,可以这样做:

$ids = array(1,2,3,7,8,9);
$db = new PDO(...);
$query = 'SELECT *
            FROM table
           WHERE X = :x
             AND id IN(';
$comma = '';
for($i=0; $i<count($ids); $i++){
  $query .= $comma.':p'.$i;       // :p0, :p1, ...
  $comma = ',';
}
$query .= ')';

$stmt = $db->prepare($query);
$stmt->bindValue(':x', 123);  // some value
for($i=0; $i<count($ids); $i++){
  $stmt->bindValue(':p'.$i, $ids[$i]);
}
$stmt->execute();

感谢您的出色回答。这是所有为我实际工作的唯一工具。但是,我看到1个错误。变量$ rs应该是$ stmt
Piet,

11

对我来说,更性感的解决方案是构造一个动态关联数组并使用它

// A dirty array sent by user
$dirtyArray = ['Cecile', 'Gilles', 'Andre', 'Claude'];

// we construct an associative array like this
// [ ':name_0' => 'Cecile', ... , ':name_3' => 'Claude' ]
$params = array_combine(
    array_map(
        // construct param name according to array index
        function ($v) {return ":name_{$v}";},
        // get values of users
        array_keys($dirtyArray)
    ),
    $dirtyArray
);

// construct the query like `.. WHERE name IN ( :name_1, .. , :name_3 )`
$query = "SELECT * FROM user WHERE name IN( " . implode(",", array_keys($params)) . " )";
// here we go
$stmt  = $db->prepare($query);
$stmt->execute($params);

难以确定,无需在实际场景中尝试,但看起来还可以。+ 1
Anant Singh ---活着死于

9

我也意识到这个线程很旧,但是我有一个独特的问题:在将即将弃用的mysql驱动程序转换为PDO驱动程序时,我必须创建一个可以动态地构建正常参数和IN的函数。参数数组。所以我很快建立了这个:

/**
 * mysql::pdo_query('SELECT * FROM TBL_WHOOP WHERE type_of_whoop IN :param AND siz_of_whoop = :size', array(':param' => array(1,2,3), ':size' => 3))
 *
 * @param $query
 * @param $params
 */
function pdo_query($query, $params = array()){

    if(!$query)
        trigger_error('Could not query nothing');

    // Lets get our IN fields first
    $in_fields = array();
    foreach($params as $field => $value){
        if(is_array($value)){
            for($i=0,$size=sizeof($value);$i<$size;$i++)
                $in_array[] = $field.$i;

            $query = str_replace($field, "(".implode(',', $in_array).")", $query); // Lets replace the position in the query string with the full version
            $in_fields[$field] = $value; // Lets add this field to an array for use later
            unset($params[$field]); // Lets unset so we don't bind the param later down the line
        }
    }

    $query_obj = $this->pdo_link->prepare($query);
    $query_obj->setFetchMode(PDO::FETCH_ASSOC);

    // Now lets bind normal params.
    foreach($params as $field => $value) $query_obj->bindValue($field, $value);

    // Now lets bind the IN params
    foreach($in_fields as $field => $value){
        for($i=0,$size=sizeof($value);$i<$size;$i++)
            $query_obj->bindValue($field.$i, $value[$i]); // Both the named param index and this index are based off the array index which has not changed...hopefully
    }

    $query_obj->execute();

    if($query_obj->rowCount() <= 0)
        return null;

    return $query_obj;
}

它仍然未经测试,但是逻辑似乎在那里。

希望它能帮助处于相同位置的人,

编辑:经过一些测试,我发现:

  • PDO不喜欢“。” 用他们的名字(如果你问我,这有点愚蠢)
  • bindParam是错误的函数,bindValue是正确的函数。

代码已编辑为工作版本。


8

对Schnalle的代码进行一些编辑

<?php
$ids     = array(1, 2, 3, 7, 8, 9);
$inQuery = implode(',', array_fill(0, count($ids)-1, '?'));

$db   = new PDO(...);
$stmt = $db->prepare(
    'SELECT *
     FROM table
     WHERE id IN(' . $inQuery . ')'
);

foreach ($ids as $k => $id)
    $stmt->bindValue(($k+1), $id);

$stmt->execute();
?>

//implode(',', array_fill(0, count($ids)-1), '?')); 
//'?' this should be inside the array_fill
//$stmt->bindValue(($k+1), $in); 
// instead of $in, it should be $id

1
我必须在count($ ids)之后删除-1,它才能为我工作,否则总会丢失一个占位符。
Marcel Burkhard

7

您正在使用什么数据库?在PostgreSQL中,我喜欢使用ANY(array)。因此,重用您的示例:

<?php
$ids=array(1,2,3,7,8,9);
$db = new PDO(...);
$stmt = $db->prepare(
    'SELECT *
     FROM table
     WHERE id = ANY (:an_array)'
);
$stmt->bindParam('an_array',$ids);
$stmt->execute();
?>

不幸的是,这是非常不可移植的。

在其他数据库上,您需要像其他人所提到的那样弥补自己的魔力。当然,您需要将该逻辑放入类/函数中,以使其在整个程序中都可重用。看一下mysql_queryPHP.NET页面上的评论,以获取有关此主题的更多思想和此方案的示例。


4

经历了同样的问题之后,我找到了一个更简单的解决方案(尽管仍然不如预期的那样优雅PDO::PARAM_ARRAY):

给定数组$ids = array(2, 4, 32)

$newparams = array();
foreach ($ids as $n => $val){ $newparams[] = ":id_$n"; }

try {
    $stmt = $conn->prepare("DELETE FROM $table WHERE ($table.id IN (" . implode(", ",$newparams). "))");
    foreach ($ids as $n => $val){
        $stmt->bindParam(":id_$n", intval($val), PDO::PARAM_INT);
    }
    $stmt->execute();

... 等等

因此,如果您使用混合值数组,则在分配类型param之前,需要更多代码来测试值:

// inside second foreach..

$valuevar = (is_float($val) ? floatval($val) : is_int($val) ? intval($val) :  is_string($val) ? strval($val) : $val );
$stmt->bindParam(":id_$n", $valuevar, (is_int($val) ? PDO::PARAM_INT :  is_string($val) ? PDO::PARAM_STR : NULL ));

但是我还没有测试过。


4

据我所知,不可能将数组绑定到PDO语句中。

但是存在两种常见的解决方案:

  1. 使用位置占位符(?,?,?,?)或命名占位符(:id1,:id2,:id3)

    $ whereIn = implode(',',array_fill(0,count($ ids),'?'));

  2. 较早引用数组

    $ whereIn = array_map(array($ db,'quote'),$ ids);

两种选择都是安全的。我喜欢第二个,因为它更短,如果需要我可以使用var_dump参数。使用占位符,您必须绑定值,最后您的SQL代码将相同。

$sql = "SELECT * FROM table WHERE id IN ($whereIn)";

对我来说,最后也是最重要的是避免出现错误“绑定变量的数量与令牌的数量不匹配”

教义是使用位置占位符的一个很好的例子,只是因为它具有对传入参数的内部控制。


4

如果该列只能包含整数,则可以不使用占位符而直接将ID放入查询中。您只需要将数组的所有值都强制转换为整数。像这样:

$listOfIds = implode(',',array_map('intval', $ids));
$stmt = $db->prepare(
    "SELECT *
     FROM table
     WHERE id IN($listOfIds)"
);
$stmt->execute();

这不应受到任何SQL注入的攻击。


3

这是我的解决方案。我还扩展了PDO类:

class Db extends PDO
{

    /**
     * SELECT ... WHERE fieldName IN (:paramName) workaround
     *
     * @param array  $array
     * @param string $prefix
     *
     * @return string
     */
    public function CreateArrayBindParamNames(array $array, $prefix = 'id_')
    {
        $newparams = [];
        foreach ($array as $n => $val)
        {
            $newparams[] = ":".$prefix.$n;
        }
        return implode(", ", $newparams);
    }

    /**
     * Bind every array element to the proper named parameter
     *
     * @param PDOStatement $stmt
     * @param array        $array
     * @param string       $prefix
     */
    public function BindArrayParam(PDOStatement &$stmt, array $array, $prefix = 'id_')
    {
        foreach($array as $n => $val)
        {
            $val = intval($val);
            $stmt -> bindParam(":".$prefix.$n, $val, PDO::PARAM_INT);
        }
    }
}

这是上述代码的示例用法:

$idList = [1, 2, 3, 4];
$stmt = $this -> db -> prepare("
  SELECT
    `Name`
  FROM
    `User`
  WHERE
    (`ID` IN (".$this -> db -> CreateArrayBindParamNames($idList)."))");
$this -> db -> BindArrayParam($stmt, $idList);
$stmt -> execute();
foreach($stmt as $row)
{
    echo $row['Name'];
}

让我知道你的想法


忘记提及这是基于下面的user2188977的答案。
Lippai Zoltan

我不确定什么是getOne(),它似乎不是PDO的一部分。我只在PEAR中看到它。它到底是做什么的?
Lippai Zoltan

@YourCommonSense您可以发布用户定义的函数作为答案吗?
空性2013年

我建议将数据类型传递给 BindArrayParam关联数组中,因为您似乎将其限制为整数。
伊恩·布里恩德利

2

不可能在PDO中使用像这样的数组。

您需要为每个值构建一个带有参数的字符串(或使用?),例如:

:an_array_0, :an_array_1, :an_array_2, :an_array_3, :an_array_4, :an_array_5

这是一个例子:

<?php
$ids = array(1,2,3,7,8,9);
$sqlAnArray = join(
    ', ',
    array_map(
        function($index) {
            return ":an_array_$index";
        },
        array_keys($ids)
    )
);
$db = new PDO(
    'mysql:dbname=mydb;host=localhost',
    'user',
    'passwd'
);
$stmt = $db->prepare(
    'SELECT *
     FROM table
     WHERE id IN('.$sqlAnArray.')'
);
foreach ($ids as $index => $id) {
    $stmt->bindValue("an_array_$index", $id);
}

如果您想继续使用bindParam,可以改为:

foreach ($ids as $index => $id) {
    $stmt->bindParam("an_array_$index", $ids[$id]);
}

如果要使用?占位符,可以这样:

<?php
$ids = array(1,2,3,7,8,9);
$sqlAnArray = '?' . str_repeat(', ?', count($ids)-1);
$db = new PDO(
    'mysql:dbname=dbname;host=localhost',
    'user',
    'passwd'
);
$stmt = $db->prepare(
    'SELECT *
     FROM phone_number_lookup
     WHERE country_code IN('.$sqlAnArray.')'
);
$stmt->execute($ids);

如果您不知道是否$ids为空,则应该对其进行测试并相应地进行处理(返回一个空数组,或者返回一个Null对象,或者抛出异常,...)。


0

为了使答案更接近使用占位符绑定参数的原始问题,我花了一些时间。

这个答案将不得不在要查询的数组中进行两个循环。但这确实解决了使用其他列占位符进行更具选择性的查询的问题。

//builds placeholders to insert in IN()
foreach($array as $key=>$value) {
    $in_query = $in_query . ' :val_' . $key . ', ';
}

//gets rid of trailing comma and space
$in_query = substr($in_query, 0, -2);

$stmt = $db->prepare(
    "SELECT *
     WHERE id IN($in_query)";

//pind params for your placeholders.
foreach ($array as $key=>$value) {
    $stmt->bindParam(":val_" . $key, $array[$key])
}

$stmt->execute();

0

您首先设置数字“?” 在查询中,然后通过“ for”发送这样的参数:

require 'dbConnect.php';
$db=new dbConnect();
$array=[];
array_push($array,'value1');
array_push($array,'value2');
$query="SELECT * FROM sites WHERE kind IN (";

foreach ($array as $field){
    $query.="?,";
}
$query=substr($query,0,strlen($query)-1);
$query.=")";
$tbl=$db->connection->prepare($query);
for($i=1;$i<=count($array);$i++)
    $tbl->bindParam($i,$array[$i-1],PDO::PARAM_STR);
$tbl->execute();
$row=$tbl->fetchAll(PDO::FETCH_OBJ);
var_dump($row);
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.