我可以将数组绑定到IN()条件吗?

我很想知道是否可以使用PDO将一个值数组绑定到占位符。 这里的用例试图传递一个IN()条件的值的数组。
我不是很擅长解释,所以这里有一些伪代码来演示。 我想能够做到这样的事情:

 <?php $ids=array(1,2,3,7,8,9); $db = new PDO(...); $stmt = $db->prepare( 'SELECT * FROM table WHERE id IN(:an_array)' ); $stmt->bindParam('an_array',$ids); $stmt->execute(); ?> 

并让PDO绑定并引用数组中的所有值。

目前我正在做:

 <?php $ids = array(1,2,3,7,8,9); $db = new PDO(...); foreach($ids as &$val) $val=$db->quote($val); //iterate through array and quote $in = implode(',',$ids); //create comma separated list $stmt = $db->prepare( 'SELECT * FROM table WHERE id IN('.$in.')' ); $stmt->execute(); ?> 

这当然是工作,但只是想知道是否有一个内置的解决scheme,我错过了?

我想soulmerge是对的。 你将不得不构造查询string。

 <?php $ids = array(1, 2, 3, 7, 8, 9); $inQuery = implode(',', array_fill(0, count($ids), '?')); $db = new PDO(...); $stmt = $db->prepare( 'SELECT * FROM table WHERE id IN(' . $inQuery . ')' ); // bindvalue is 1-indexed, so $k+1 foreach ($ids as $k => $id) $stmt->bindValue(($k+1), $id); $stmt->execute(); ?> 

修理:丹,你是对的。 修正了代码(虽然没有testing)

编辑:无论是克里斯(评论)和somebodyisintroublebuild议,foreach循环…

 (...) // bindvalue is 1-indexed, so $k+1 foreach ($ids as $k => $id) $stmt->bindValue(($k+1), $id); $stmt->execute(); 

…可能是多余的,所以foreach循环和$stmt->execute可以被replace为…

 <?php (...) $stmt->execute($ids); ?> 

(再次,我没有testing它)

快速的东西:

 //$db = new PDO(...); //$ids = array(...); $qMarks = str_repeat('?,', count($ids) - 1) . '?'; $sth = $db->prepare("SELECT * FROM myTable WHERE id IN ($qMarks)"); $sth->execute($ids); 

使用IN语句非常重要吗? 尝试使用FIND_IN_SET操作。

例如,像这样的PDO中有一个查询

 SELECT * FROM table WHERE FIND_IN_SET(id, :array) 

那么你只需要绑定一个数组,用逗号分解,像这样

 $ids_string = implode(',', $array_of_smth); // WITHOUT WHITESPACES BEFORE AND AFTER THE COMMA $stmt->bindParam('array', $ids_string); 

它完成了。

UPD:正如有些人在评论中指出的那样,有一些问题应该进行明确的说明。

  1. FIND_IN_SET不使用表中的索引,但它仍然没有实现 – 在MYSQL错误跟踪器中查看此logging 。 感谢@BillKarwin的通知。
  2. 您不能使用逗号内部的string作为search数组的值。 因为使用逗号符号作为分隔符,所以在implode之后以正确的方式parsing这样的string是不可能的。 感谢@VaL的注意。

总而言之,如果您不太依赖索引,也不要使用逗号进行search的string,我的解决scheme将比上面列出的解决scheme更容易,更简单,更快捷。

由于我做了很多dynamic查询,这是我做的一个超级简单的帮助函数。

 public static function bindParamArray($prefix, $values, &$bindArray) { $str = ""; foreach($values as $index => $value){ $str .= ":".$prefix.$index.","; $bindArray[$prefix.$index] = $value; } return rtrim($str,","); } 

像这样使用它:

 $bindString = helper::bindParamArray("id", $_GET['ids'], $bindArray); $userConditions .= " AND users.id IN($bindString)"; 

返回一个string:id1,:id2,:id3 ,同时更新你的$bindArray的绑定,当你需要运行你的查询的时候,你需要这个绑定。 简单!

来自EvilRygy的解决scheme并没有为我工作。 在Postgres中,你可以做另一个解决方法:

 $ids = array(1,2,3,7,8,9); $db = new PDO(...); $stmt = $db->prepare( 'SELECT * FROM table WHERE id = ANY (string_to_array(:an_array, ','))' ); $stmt->bindParam(':an_array', implode(',', $ids)); $stmt->execute(); 

我扩展了PDO来完成类似于Stef所说的东西,从长远来看对我来说更容易:

 class Array_Capable_PDO extends PDO { /** * Both prepare a statement and bind array values to it * @param string $statement mysql query with colon-prefixed tokens * @param array $arrays associatve array with string tokens as keys and integer-indexed data arrays as values * @param array $driver_options see php documention * @return PDOStatement with given array values already bound */ public function prepare_with_arrays($statement, array $arrays, $driver_options = array()) { $replace_strings = array(); $x = 0; foreach($arrays as $token => $data) { // just for testing... //// tokens should be legit //assert('is_string($token)'); //assert('$token !== ""'); //// a given token shouldn't appear more than once in the query //assert('substr_count($statement, $token) === 1'); //// there should be an array of values for each token //assert('is_array($data)'); //// empty data arrays aren't okay, they're a SQL syntax error //assert('count($data) > 0'); // replace array tokens with a list of value tokens $replace_string_pieces = array(); foreach($data as $y => $value) { //// the data arrays have to be integer-indexed //assert('is_int($y)'); $replace_string_pieces[] = ":{$x}_{$y}"; } $replace_strings[] = '('.implode(', ', $replace_string_pieces).')'; $x++; } $statement = str_replace(array_keys($arrays), $replace_strings, $statement); $prepared_statement = $this->prepare($statement, $driver_options); // bind values to the value tokens $x = 0; foreach($arrays as $token => $data) { foreach($data as $y => $value) { $prepared_statement->bindValue(":{$x}_{$y}", $value); } $x++; } return $prepared_statement; } } 

你可以像这样使用它:

 $db_link = new Array_Capable_PDO($dsn, $username, $password); $query = ' SELECT * FROM test WHERE field1 IN :array1 OR field2 IN :array2 OR field3 = :value '; $pdo_query = $db_link->prepare_with_arrays( $query, array( ':array1' => array(1,2,3), ':array2' => array(7,8,9) ) ); $pdo_query->bindValue(':value', '10'); $pdo_query->execute(); 

postgres的非常干净的方式是使用postgres-array(“{}”):

 $ids = array(1,4,7,9,45); $param = "{".implode(', ',$ids)."}"; $cmd = $db->prepare("SELECT * FROM table WHERE id = ANY (?)"); $result = $cmd->execute(array($param)); 

这是我的解决scheme:

 $total_items = count($array_of_items); $question_marks = array_fill(0, $total_items, '?'); $sql = 'SELECT * FROM foo WHERE bar IN (' . implode(',', $question_marks ). ')'; $stmt = $dbh->prepare($sql); $stmt->execute(array_values($array_of_items)); 

请注意使用array_values。 这可以解决关键订购问题。

我正在合并ID的数组,然后删除重复的项目。 我有这样的东西:

 $ids = array(0 => 23, 1 => 47, 3 => 17); 

那是失败的。

我也意识到这个线程是旧的,但我有一个独特的问题,在转换即将被弃用的MySQL驱动程序到PDO驱动程序,我不得不做一个function,可以dynamic地build立正常参数和INs从相同参数数组。 所以我很快build立了这个:

 /** * mysql::pdo_query('SELECT * FROM TBL_WHOOP WHERE type_of_whoop IN :param AND siz_of_whoop = :size', array(':param' => array(1,2,3), ':size' => 3)) * * @param $query * @param $params */ function pdo_query($query, $params = array()){ if(!$query) trigger_error('Could not query nothing'); // Lets get our IN fields first $in_fields = array(); foreach($params as $field => $value){ if(is_array($value)){ for($i=0,$size=sizeof($value);$i<$size;$i++) $in_array[] = $field.$i; $query = str_replace($field, "(".implode(',', $in_array).")", $query); // Lets replace the position in the query string with the full version $in_fields[$field] = $value; // Lets add this field to an array for use later unset($params[$field]); // Lets unset so we don't bind the param later down the line } } $query_obj = $this->pdo_link->prepare($query); $query_obj->setFetchMode(PDO::FETCH_ASSOC); // Now lets bind normal params. foreach($params as $field => $value) $query_obj->bindValue($field, $value); // Now lets bind the IN params foreach($in_fields as $field => $value){ for($i=0,$size=sizeof($value);$i<$size;$i++) $query_obj->bindValue($field.$i, $value[$i]); // Both the named param index and this index are based off the array index which has not changed...hopefully } $query_obj->execute(); if($query_obj->rowCount() <= 0) return null; return $query_obj; } 

它仍然是未经testing,但逻辑似乎在那里。

希望它能帮助那些处于相同位置的人,

编辑:经过一些testing,我发现:

  • PDO不喜欢'。' 在他们的名字(这是有点愚蠢,如果你问我)
  • bindParam是错误的函数,bindValue是正确的函数。

代码编辑为工作版本。

看看PDO:预定义的常量没有PDO :: PARAM_ARRAY,你需要在PDOStatement-> bindParam

bool PDOStatement :: bindParam(mixed $ parameter,mixed&$ variable [, int $ data_type [,int $ length [,mixed $ driver_options]]])

所以我不认为这是可以实现的。

对Schnalle的代码进行一些编辑

 <?php $ids = array(1, 2, 3, 7, 8, 9); $inQuery = implode(',', array_fill(0, count($ids)-1, '?')); $db = new PDO(...); $stmt = $db->prepare( 'SELECT * FROM table WHERE id IN(' . $inQuery . ')' ); foreach ($ids as $k => $id) $stmt->bindValue(($k+1), $id); $stmt->execute(); ?> //implode(',', array_fill(0, count($ids)-1), '?')); //'?' this should be inside the array_fill //$stmt->bindValue(($k+1), $in); // instead of $in, it should be $id 

当你有其他参数时,你可以这样做:

 $ids = array(1,2,3,7,8,9); $db = new PDO(...); $query = 'SELECT * FROM table WHERE X = :x AND id IN('; $comma = ''; for($i=0; $i<count($ids); $i++){ $query .= $comma.':p'.$i; // :p0, :p1, ... $comma = ','; } $query .= ')'; $stmt = $db->prepare($query); $stmt->bindValue(':x', 123); // some value for($i=0; $i<count($ids); $i++){ $stmt->bindValue(':p'.$i, $ids[$i]); } $stmt->execute(); 

你在用什么数据库? 在PostgreSQL中,我喜欢使用ANY(数组)。 所以要重用你的例子:

 <?php $ids=array(1,2,3,7,8,9); $db = new PDO(...); $stmt = $db->prepare( 'SELECT * FROM table WHERE id = ANY (:an_array)' ); $stmt->bindParam('an_array',$ids); $stmt->execute(); ?> 

不幸的是,这是非常不便携的。

在其他数据库中,您需要像其他人一样提出自己的魔法。 你会想把这个逻辑放到一个类/函数中,使它在整个程序中都可重用。 看看PHP.NET上的mysql_query页面上的注释,以获得关于这个场景的主题和示例的更多想法。

经历同样的问题后,我去了一个更简单的解决scheme(虽然仍然不如PDO::PARAM_ARRAY那么优雅):

给定数组$ids = array(2, 4, 32)

 $newparams = array(); foreach ($ids as $n => $val){ $newparams[] = ":id_$n"; } try { $stmt = $conn->prepare("DELETE FROM $table WHERE ($table.id IN (" . implode(", ",$newparams). "))"); foreach ($ids as $n => $val){ $stmt->bindParam(":id_$n", intval($val), PDO::PARAM_INT); } $stmt->execute(); 

… 等等

所以,如果您使用的是混合值数组,那么在分配types参数之前,您将需要更多的代码来testing您的值:

 // inside second foreach.. $valuevar = (is_float($val) ? floatval($val) : is_int($val) ? intval($val) : is_string($val) ? strval($val) : $val ); $stmt->bindParam(":id_$n", $valuevar, (is_int($val) ? PDO::PARAM_INT : is_string($val) ? PDO::PARAM_STR : NULL )); 

但是我没有testing过这个。

据我所知,没有任何可能性将数组绑定到PDO语句。

但存在两种常见的解决scheme

  1. 使用位置占位符(?,?,?,?)或命名占位符(:id1,id2,id3)

    $ whereIn = implode(',',array_fill(0,count($ ids),'?'));

  2. 之前引用数组

    $ whereIn = array_map(array($ db,'quote'),$ ids);

两种select都很好,安全。 我更喜欢第二个,因为它更短,我可以var_dump参数,如果我需要它。 使用占位符,你必须绑定值,最后你的SQL代码将是相同的。

 $sql = "SELECT * FROM table WHERE id IN ($whereIn)"; 

对我来说最后一个重要的是避免错误“绑定variables的数量与令牌的数量不匹配”

学说这是使用位置占位符的一个很好的例子,只是因为它对传入参数有内部控制。

如果列只能包含整数,那么可以这样做,不用占位符,直接将查询标识放在查询中。 您只需将数组的所有值转换为整数。 喜欢这个:

 $listOfIds = implode(',',array_map('intval', $ids)); $stmt = $db->prepare( "SELECT * FROM table WHERE id IN($listOfIds)" ); $stmt->execute(); 

这不应该容易受到任何SQL注入。

这是我的解决scheme。 我也扩展了PDO类:

 class Db extends PDO { /** * SELECT ... WHERE fieldName IN (:paramName) workaround * * @param array $array * @param string $prefix * * @return string */ public function CreateArrayBindParamNames(array $array, $prefix = 'id_') { $newparams = []; foreach ($array as $n => $val) { $newparams[] = ":".$prefix.$n; } return implode(", ", $newparams); } /** * Bind every array element to the proper named parameter * * @param PDOStatement $stmt * @param array $array * @param string $prefix */ public function BindArrayParam(PDOStatement &$stmt, array $array, $prefix = 'id_') { foreach($array as $n => $val) { $val = intval($val); $stmt -> bindParam(":".$prefix.$n, $val, PDO::PARAM_INT); } } } 

以下是上述代码的示例用法:

 $idList = [1, 2, 3, 4]; $stmt = $this -> db -> prepare(" SELECT `Name` FROM `User` WHERE (`ID` IN (".$this -> db -> CreateArrayBindParamNames($idList)."))"); $this -> db -> BindArrayParam($stmt, $idList); $stmt -> execute(); foreach($stmt as $row) { echo $row['Name']; } 

让我知道你的想法

对我来说,性感的解决scheme是构build一个dynamic关联数组并使用它

 // a dirty array sent by user $dirtyArray = ['Cecile', 'Gilles', 'Andre', 'Claude']; // we construct an associative array like this // [ ':name_0' => 'Cecile', ... , ':name_3' => 'Claude' ] $params = array_combine( array_map( // construct param name according to array index function ($v) {return ":name_{$v}";}, // get values of users array_keys($dirtyArray) ), $dirtyArray ); // construct the query like `.. WHERE name IN ( :name_1, .. , :name_3 )` $query = "SELECT * FROM user WHERE name IN( " . implode(",", array_keys($params)) . " )"; // here we go $stmt = $db->prepare($query); $stmt->execute($params); 

为了让答案更接近原来使用占位符来约束参数的问题,我花了一点时间。

这个答案将不得不通过在查询中使用的数组两个循环。 但它确实解决了有更多select性查询的其他列占位符的问题。

 //builds placeholders to insert in IN() foreach($array as $key=>$value) { $in_query = $in_query . ' :val_' . $key . ', '; } //gets rid of trailing comma and space $in_query = substr($in_query, 0, -2); $stmt = $db->prepare( "SELECT * WHERE id IN($in_query)"; //pind params for your placeholders. foreach ($array as $key=>$value) { $stmt->bindParam(":val_" . $key, $array[$key]) } $stmt->execute(); 

你先设定一些“?” 在查询中再通过“for”发送这样的参数:

 require 'dbConnect.php'; $db=new dbConnect(); $array=[]; array_push($array,'value1'); array_push($array,'value2'); $query="SELECT * FROM sites WHERE kind IN ("; foreach ($array as $field){ $query.="?,"; } $query=substr($query,0,strlen($query)-1); $query.=")"; $tbl=$db->connection->prepare($query); for($i=1;$i<=count($array);$i++) $tbl->bindParam($i,$array[$i-1],PDO::PARAM_STR); $tbl->execute(); $row=$tbl->fetchAll(PDO::FETCH_OBJ); var_dump($row);