如何简化php代码？

Question

代码是

if($_POST['update_id']) 
{ 
    $sql = ' 
     UPDATE 
      affiliate_updates 
     SET 
      update_subject="' . $_POST['update_subject'] . '", 
      update_body="' . $_POST['update_body'] . '" 
     WHERE 
      update_id="' . $_POST['update_id'] . '" 
     LIMIT 1 
     '; 
    mysql_query($sql); 
    header('Location: affiliate_updates?update_id=' . $_POST['update_id']); 
    exit; 
} 

如何修剪上面的代码或简化代码？

任何想法或示例代码请告诉我。

如何使用SQL注入上面的代码。任何一个给我看示例代码？

Answer 1

您可以改为使用PHP的PDO库，它是数据库的OOP处理程序。优点是，如果需要，可以更改数据库类型，因为不必每mysql_query就更换一次。

此外，你在做你的代码真的很糟糕。您在查询中使用未经验证的用户输入。使用准备好的PDO语句。或使用mysql_real_escape_string($_POST['somevar'])。

这里与PDO同：

$db = // already instanced somewhere earlier (PDO Instance) 
$query = $db->prepare('UPDATE affiliate_updates SET update_subject = ?, update_body = ? WHERE update_id = ? LIMIT 1'); 
$query->execute(array($_POST['update_subject'], $_POST['update_body'], $_POST['update_id'])); 
header('Location: affiliate_updates?update_id=' . $_POST['update_id']); 

Answer 2

我建议使用小助手功能，以产生正确的SET语句了允许领域

function dbSet($fields) { 
    $set=''; 
    foreach ($fields as $field) { 
    if (isset($_POST[$field])) { 
     $set.="`$field`='".mysql_real_escape_string($_POST[$field])."', "; 
    } 
    } 
    return substr($set, 0, -2); 
} 

所以$ _POST数组和列表，你的代码变成

$id = intval(); 
$set = dbSet(array("update_subject","update_body")); 
$sql = "UPDATE affiliate_updates SET $set WHERE update_id=$id"; 
mysql_query($sql) or trigger_error(mysql_error()." in ".$sql); 

但是为了更方便的编码，你可能希望开发一些placeho lder系统，以及一些抽象层来访问你的数据库。所以，它可以为你节省更多的行数：

$set = $db->filterPost(array("update_subject","update_body")); 
$db->run("UPDATE affiliate_updates SET ?u WHERE update_id=?i",$set,$_POST['update_id']);