Mysql动态SQL语句与PDO和参数

Question

我想创建一个动态的SQL语句并使用PDO运行它。我的问题是，我有一些参数，我想不出一种方式来传递参数。 例如：

$query = "Select * from tbl_task where 1=1"; 
if (!empty($name)) $query .= " AND name = ?"; 
if (!empty($status)) $query .= " AND status = ?" 
$db_stmt = new PDOStatement(); 
$db_stmt = $this->db->prepare($query); 
$db_stmt->bindParam (1,$name); 
$db_stmt->bindParam (2,$status); 

我的参数不会被绑定，我不知道我有多少个参数进行绑定，除非我写if语句，但与bindParam指令相同。

我试着用mysql_real_escape_string代替bindParam到PDO，但由于某种原因，我的参数被添加为空。

有关如何构建动态查询并将参数绑定到PDO的任何想法？

编辑1：

$arr = array(); 
if (!empty($name)){ 
    $query .= " AND `name` like :NAME"; 
    $arr['NAME'] = $name; 
} 
$db_stmt = new PDOStatement(); 
$db_stmt = $this->db->prepare($query); 
$db_stmt->execute($arr); 

我如何写一个 “喜欢” 的说法？我试过

$query .= " AND `name` like :NAME" . "%"; 

并且不工作。

Answer 1

我最常做的是：

$query = "Select * from `tbl_task` where 1=1"; 
$arr = array(); 
if (!empty($name)) 
    { 
    $query .= " AND `name` = :NAME"; 
    $arr['NAME'] = $name; 
    } 
if (!empty($status)) 
    { 
    $query .= " AND `status` = :STATUS"; 
    $arr['STATUS'] = $status; 
    } 
$this->db->beginTransaction(); 
try 
    { 
    $tmp = $this->db->prepare($query); 
    $tmp->execute($arr); 
    $this->db->commit(); 
    } 
catch(PDOException $ex) 
    { 
    $this->db->rollBack(); 
    $this->log->error($ex->getMessage()); 
    } 

Answer 2

不能添加SQL代码作为参数;只有数据会做。您必须强制这些位为$query。他们不会被转义，因此他们不应该包含用户提交的数据。

Answer 3

我最常做的是：

$query = "Select * from tbl_task where 1=1"; 
if (!empty($name)) $query .= $db->parse(" AND name = ?s", $name); 
if (!empty($status)) $query .= $db->parse(" AND status = ?s",$status); 
$data = $this->db->getAll($query); 

的想法是在具有函数解析任意查询部分，而不是整个查询的占位符。
虽然我不打扰本机准备好的陈述。他们用无用的代码来污染PHP脚本，而没有任何好处。

要回答更新的问题
正如您所了解的那样，您无法绑定任意查询部分。但只是文字。
所以，让你的文字看起来像foo%然后绑定它通常的方式。