Zapytanie do bazy i znak zapytania

Question

Mam pytanie kiedy przyrównuję się znakiem zapytania? w jakim momencie można go stosować?

Wytłumaczy mi ktoś?:) Wdzięczny byłbym bardzo :)

np:

$sql = "SELECT * from house where houses.id = ?";

Answer 1

To jest tzw. "bindowanie", zabezpieczenie przed wstrzykiwaniem SQL oraz innymi niebezpieczeństwami. Zastosowanie tej techniki daje większe bezpieczeństwo aplikacji i nie tylko aplikacji.

Dam przykład z rozszerzenia mysqli, jest to również na PDO, tylko jest inna nazwa funkcji.

http://php.net/manual/en/mysqli-stmt.bind-param.php

$stmt = $mysqli->prepare("INSERT INTO CountryLanguage VALUES (?, ?, ?, ?)");
$stmt->bind_param('sssd', $code, $language, $official, $percent);

W tym przykładzie masz 4 znaki zapytania. Oznacza to, że później trzeba podać 4 wartości.

Druga linia oznacza kolejno (te sssd): string, string, string, double.

Te zmienne dalej to odpowiedniki tego, co ustaliliśmy. Czyli 1. zmienna to typ string, 2. zmienna to też typ string, 3. zmienna też jest typu string, a ostatnia typu double/float.

Comments

Czyli w takim przypadku zbindowane zostalo w execute(array($id)); znak zapytania?

<?php session_start(); 
	require 'skrypt/database.php';
	if(!empty($_GET['id'])){
		$id = $_GET['id'];
		$pdo = Database::connect();
		$sql = "SELECT * from house where houses.id = ?";
		$q = $pdo->prepare($sql);
		$q->execute(array($id));
		$data = $q->fetch(PDO::FETCH_ASSOC); }
?>

---

http://webhelp.pl/artykuly/obsluga-baz-danych-za-pomoca-pdo/

Inny zapis tego wyglądałby np. tak:

$q->bindValue(1, $id, PDO::PARAM_INT);

Oczywiście, jeżeli zmienna $id ma nie być typu INT, to musisz wtedy zmienić PDO:PARAM_INT na jakąś inną stałą. Spis stałych masz pod tym adresem.

Zapraszam do lektury:

http://php.net/manual/en/pdostatement.execute.php

http://php.net/manual/en/pdostatement.bindvalue.php

Bindowana jest wartość. U ciebie zbindowana została zmienna:  $id = $_GET['id'];

---

Ostatnie pytanko tylko bym wiedzial czy sie nie myle czy nie

czyli jak zrobie przed zapytaniem

np

$id = $_GET['id'];

wtedy moge uzyc znaku zapytania w SQL?

a jakbym mial

$id = $_GET['id'];

$price = $_GET['price'];

To która bylaby zbindowana wartosc pod -> '?'

Prosze jeszcze tylko na to odpowiedziec i biore sie za lekture :P

---

Przecież wszystko jest w manualu:

$sth = $dbh->prepare('SELECT name, colour, calories
    FROM fruit
    WHERE calories < ? AND colour = ?');
$sth->bindValue(1, $calories, PDO::PARAM_INT);
$sth->bindValue(2, $colour, PDO::PARAM_STR);

Po bindValue w nawiasie, 1 oznacza pierwszą wartość. A 2 oznacza drugą wartość.

Czyli w tym przykładzie jest napisany select, który wyszukuje owoce, które mają mniej niż ? kalorii i jeszcze, które mają ? kolor.

1. znak zapytania to zmienna $calories, a 2. znak zapytania to zmienna $colour.

Jeśli jednak chodzi oto zapytanie, na przykład:

$q->execute(array(15, 30));

To pierwsza wartość jest równa 15, a druga 30.

1=>15, 2=>30.

---

No tak ale caly czas tlumaczysz z przykladem bindowania, to ja rouzmiem tylko tutaj nie ma bindowania i dlatego jestem ciekaw na jakiej zasadzie pobiera znak zapytania wartosc:

<?php session_start(); 
    require 'skrypt/database.php';
    if(!empty($_GET['id'])){
        $id = $_GET['id'];
        $pdo = Database::connect();
        $sql = "SELECT * from house where houses.id = ?";
        $q = $pdo->prepare($sql);
        $q->execute(array($id));
        $data = $q->fetch(PDO::FETCH_ASSOC); }
?>

 

stad?

$q->execute(array($id));

 

---

Przecież:

$q->execute(array($id));

Oznacza to samo, co:

$q->bindValue(1, $id, PDO::PARAM_INT);

Oczywiście, jeśli $id jest typu int, dajesz PDO:PARAM_INT. Jeśli jest innego typu, to wpisujesz tam inną stałą.

Ta linia, co napisałeś, nie pobiera znaku zapytania tylko podstawia za ten znak twoją zmienną, u ciebie ta zmienna to $id.

---

Dziekuje bardzo za wytlumaczenie

---

Jeszcze raz ci rzucę tego link'a:

http://webhelp.pl/artykuly/obsluga-baz-danych-za-pomoca-pdo/

Wydaje mi się, że to jest po prostu dość dobry poradnik, który tłumaczy, co i jak. Gdybyś go przeczytał to byś raczej nie zadawałbyś tego typu pytań.

---

Ok zrobilem petle foreach z tego przykladu i dodatkowo wypisalem echo $id sprawdzajac czy ono przybralo zmienna id i nic nie wyswietla blad w konstrukcji to moze byc??

	<?php 
		

	if(!empty($_GET['id'])){
		$id = $_GET['id'];
		$pdo = Database::connect();
		$sql = "SELECT * from comments where attractions.id = ?";
		$q = $pdo->prepare($sql);
		$q->execute(array($id)); }
         
		
		foreach($q as $row){
		echo '<div class="row">';
		echo '<div class="col-md-4">';

		echo '<h3>' . $row['author'] . '</h3>';
		echo '<p>'. $row['email'] .'</p>';
        echo '<p>'. $row['comment'] .'</p>';
		echo '</div>';
		echo '</div>'; 
    }
			 ?>

 

---

Foreach pobiera dane z tablicy, gdzie ty masz tam tablicę?

---

No zapytanei do bazy a pozniej wyniki wypisuje?

---

Jeśli chcesz użyć foreach, to chyba coś musi ci tablicę zwrócić.

Napisz, co ci zwraca print_r($q);

---

		$pdo = Database::connect();
		$sql = "SELECT * from comments where attractions.id = ?";
		$q = $pdo->prepare($sql);
		$q->execute(array($id));
		$row = $q->fetch(PDO::FETCH_ASSOC); 

	  foreach($row as $wypisz){
		echo '<div class="row">';
		echo '<div class="col-md-4">';

		echo '<h3>' . $wypisz['author'] . '</h3>';
		echo '<p>'. $row['email'] .'</p>';
    echo '<p>'. $row['comment'] .'</p>';
		echo '</div>';
		echo '</div>'; 
    }

poprawilem ale nie wypisuje?

Warning: Invalid argument supplied for foreach() in C:\xampp\htdocs\information.php on line 103

---

Radzę poczytać jak działa pętla foreach:

http://php.net/manual/en/control-structures.foreach.php

Napisz po prostu:

foreach($q as $row) {
   echo $row;
}

http://forum.php.pl/php_Invalid_argument_supplied_for_foreach_t72803.html

http://stackoverflow.com/questions/2630013/invalid-argument-supplied-for-foreach

Może tak napisz:

foreach((array)$q as $row) { 
   echo $row; 
}

Zrzutuj na tablicę.