mySQL bind_param与IN（？）

Question

在我所有的查询中使用bind_param，我现在想要使用IN(?)，其中列表中元素的数量可能会有所不同。

我在这里使用基本上都一个 $sql_db->prepare， ->bind_param， ->execute()， ->store_result()， ->bind_result

// the code below does not work as the query only matches on element 'a': 
$locations = ('a','b','c','d','e'); 

SQLout ("SELECT Name FROM Users WHERE Locations IN (?)", 
    array('s', $locations), array(&$usrName)); 


// the code below does work as a brute-force method, 
// but is not a viable solution as I can't anticipate the number of elements in $locations going forward: 

SQLout ("SELECT Name FROM Users WHERE Locations IN (?,?,?,?,?)", 
    array('sssss', $locations[0],$locations[1],$locations[2],$locations[3],$locations[4]), array(&$usrName)); 

有没有人想出了一个更优雅的解决这个

的SQLOUT功能？

Answer 1

这是一个地方的占位符落在他们的脸上。减去自动转义，他们几乎真的只是一个字符串替换operationt内部，也就是说如果你有WHERE x IN (?)，并通过在1,2,3,4，你会得到的

WHERE x IN ('1,2,3,4') // note, it's a string, not individual comma-separated ints 

等效逻辑上等同于

WHERE x = '1,2,3,4' // again, just a string 

更预期

WHERE (x = 1) or (x = 2) or (x = 3) or (x = 4) 

唯一可行的解​​决方案的isntead是建立自己的名单，例如：

$placeholders = implode(array_fill(0, count($values), '?')); 
$sql = "SELECT ... WHERE x IN ($placeholders)"; 

然后绑定你的参数是平常的。

Answer 2

IN通常很慢并且没有准备好语句友好。更好的解决方案是构建一个IN中的项目表，并使用JOIN获得相同的效果。

Answer 3

在准备/绑定它之前，您可以在IN子句中“构建”。

$sql = 'SELECT Name FROM Users WHERE Locations IN (' . implode(array_fill(0, count($locations), '?')) . ')'; 

然后，您可以使用call_user_func_array绑定参数，而无需知道有多少。

// Parameters for SQLOut 
$params = array(
    # The SQL Query 
    $sql, 
    # The params for bind_param 
    array(str_repeat('s', count($locations))), 
    # The params for bind_result 
    array(&$usrName) 
); 

// Add the locations into the parameter list 
foreach($locations as &$loc){ 
    // not sure if this is needed, but bind_param 
    // expects its parameters to be references 
    $params[1][] = &$loc; 
} 

// Call your function 
call_user_func_array('SQLout', $params); 

_{注：这是未经测试}

Answer 4

有没有人想出了一个更优雅的解决方案呢？

肯定。我是。

Mysqli几乎不能用准备好的语句，特别是在这种复杂的情况下。
因此，最好是摆脱准备好的陈述并实施自己的占位符，支持所有真实案例开发人员可以见面。

因此，safeMysql有一个你正在寻找的解决方案（以及解决方案，以及其他十几个令人头疼的问题）。

在您的特定情况下，将作为这一行代码一样简单

// the code works all right: 
$locations=array('a','b','c','d','e'); 
$usrName=$db->getCol("SELECT Name FROM Users WHERE Locations IN (?a)",$locations); 

不像你可以用一些PHP和API函数得到出场（和仍然得到令人不安的警告丑陋的代码依赖于PHP版本你现在使用的）这个代码是整洁的，并且可读。这是重要的事情。即使经过了一年，你也可以知道这些代码的作用。

Answer 5

由于危险品说，你需要建立的参数，然后通过在准备好的声明，呼吁call_user_func_array通过他们，但比他的例子:)

//In the calling code 
$queryString = "SELECT Name FROM Users WHERE Locations IN ("; 
$queryString .= getWhereIn($locations); 
$queryString .= ")"; 

$parametersArray = array(); 

foreach($locations as $location){ 
    $parameter = array(); 
    $parameter[0] = 's'; //It's a string 
    $parameter[1] = $location; 

    $parametersArray[] = $parameter; 
} 



//This is a function in a class that wraps around the class mysqli_statement 
function bindParameterArray($parameterArray){ 

    $typesString = ''; 
    $parameterValuesArray = array(); 

    foreach($parameterArray as $parameterAndType){ 
     $typesString .= $parameterAndType[0]; 
     $parameterValuesArray[] = $parameterAndType[1]; 
    } 

    $finalParamArray = array($typesString); 
    $finalParamArray = array_merge($finalParamArray, $parametersArray); 
    call_user_func_array(array($this->statement, "bind_param"), $finalParamArray); 
} 

function getWhereIn($inArray){ 
    $string = ""; 
    $separator = ""; 
    for($x=0 ; $x<count($inArray) ; $x++){ 
     $string .= $separator."?"; 
     $separator = ", "; 
    } 
    return $string; 
}