我正在使用位 (1) 字段存储布尔值并使用 PDO 准备语句写入表中。
这是测试表:
CREATE TABLE IF NOT EXISTS `test` (
`SomeText` varchar(255) NOT NULL,
`TestBool` bit(1) NOT NULL DEFAULT b'0'
) ENGINE=MEMORY DEFAULT CHARSET=latin1;
这是测试代码:
$pdo = new PDO("connection string etc") ;
$statement = $pdo->prepare('INSERT INTO `test` (SomeText,TestBool) VALUES (?,?)') ;
$statement->execute(array("TEST",0)) ;
运行该代码在 TestBool 下给我一行值为 1 的行。 使用 bindValue() 和 bindParm() 也是一样。我还尝试了命名占位符(而不是?),结果相同。
然后我试了:
$statement = $pdo->prepare('INSERT INTO `test` (SomeText,TestBool) VALUES ("TEST",0)') ;
$statement->execute() ;
哪个工作正常(TestBool 的值为 0)。将 SQL 直接插入 MySQL 也可以。
请注意,插入 1 始终有效。
那么为什么占位符无法插入值 0? (我该怎么做?)
BIT 列是 mysql 中的二进制类型(尽管它被记录为数字类型 - 这并不完全正确)并且由于客户端库的问题(PDO 问题证明),我建议避免使用它。如果您将列的类型修改为 TINYINT(1) ,您将省去很多麻烦
TINYINT(1) 当然会为每一行消耗完整字节的存储空间,但根据 mysql 文档 BIT(1) 也会这样做。
来自: http://dev.mysql.com/doc/refman/5.1/en/storage-requirements.html
bit 存储要求是:大约 (M+7)/8 字节,这表明 BIT(M) 列也是字节对齐的。
我还发现了这个:https://bugs.php.net/bug.php?id=50757
因此您可以检查以下代码是否按预期工作:
$pdo = new PDO("connection string etc") ;
$statement = $pdo->prepare('INSERT INTO `test` (SomeText,TestBool) VALUES (:someText,:testBool)') ;
$statement->bindValue(':someText', "TEST");
$statement->bindValue(':testBool', 0, PDO::PARAM_INT);
$statement->execute();
您也可以尝试使用与 PARAM_INT 不同的类型提示,即使您让它工作,我仍然建议更改为 TINYINT。
pdo 默认情况下不使用 mysql 驱动程序的准备语句,它通过在幕后为您创建动态 sql 来模拟它们。发送到 mysql 的 sql 最终是一个单引号 0,如 '0',mysql 将其解释为字符串,而不是数字。
$pdo->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
它现在应该可以工作了,你也将实际使用真正的准备好的语句。
因为
prepare
将'
添加到您的参数中,您只需在参数名称前添加b
$statement = $pdo->prepare('INSERT INTO `test` (SomeText,TestBool) VALUES (?, b?)');
$statement->execute(array("TEST", 1 /* or TRUE */));
注意:您可以使用
1, 0
或TRUE, FALSE
。
你可以不带参数试试这个
if($_POST['bool'] == 1)
{
$bool = "b'1'";
}
else
{
$bool = "b'0'";
}
$statement = $pdo->prepare("INSERT INTO `test` (SomeText,TestBool) VALUES (?,$bool)") ;
$statement->execute(array("TEST")) ;
没有安全问题
只需在您的位变量前添加 (bool),如下所示:
$id = 1234;
$active = 0;
$statement = $pdo->prepare('INSERT INTO `test_table` (id, active) VALUES (?, ?)');
$statement->execute([$id, (bool) $active]);
PDOStatement::execute()
始终将所有参数转换为字符串,如最新的 php 8.2.0 RC3 源所示:
所以实际发生的是,整个数组值都转换为字符串,这导致 SQL 语句失败。
$statement = $pdo->prepare('INSERT INTO `test` (SomeText, TestBool) VALUES (?, ?)');
$statement->execute([
'TEST',
false, // converted to string
]);
可以使用
PDOStatement::bindValue()
修复,因为绑定值允许设置参数类型。
$statement = $pdo->prepare('INSERT INTO `test` (SomeText, TestBool) VALUES (?, ?)');
$statement->bindValue('SomeText', 'TEST', PDO::PARAM_STR);
$statement->bindValue('TestBool', false, PDO::PARAM_BOOL);
$statement->execute();
由于手动绑定很麻烦,Nette 等库使该过程变得更加容易,如下面的示例所示:
$database = new Nette\Database\Connection("mysql:host={$params['host']};dbname={$params['database']};charset=utf8", $params['user'], $params['pass']);
$staff = [
[
'birthday' => new DateTime('1995-05-01'),
'name' => 'Sharon',
'salary' => '200',
'management' => true,
],
];
$database->query('INSERT INTO test', $staff);
旧答案:
显然,它比传递数组来执行更麻烦,这就是为什么我创建了一个快速而肮脏的助手来简化任务。
注意:如评论中所述,请勿在未经验证的用户输入上使用它,因为它可能会对以下查询造成破坏:
$sql = <<<SQL
DELETE FROM table WHERE email = :email
SQL;
:email
是一个字符串,但如果传递了 false
,它将删除表中的所有电子邮件。
$values = [
'SomeTest' => 'TEST',
'testBool' => false,
];
bind($query, $values)->execute();
/**
* Variable to PDO type
*
* @param mixed $value
*
* @return int PDO type
*/
function typeToParam(mixed $value) : int
{
switch ($type = gettype($value)) {
case 'boolean':
return PDO::PARAM_BOOL;
case 'integer':
return PDO::PARAM_INT;
case 'NULL':
return PDO::PARAM_NULL;
case 'string':
return PDO::PARAM_STR;
default:
throw new Exception("unsupported type - {$type}");
}
}
/**
* Bind values to PDO statement
*
* @param PDOStatement $statement
* @param array $data
*
* @return PDOStatement
*/
function bind(PDOStatement $statement, array $data) : PDOStatement
{
foreach ($data as $key => $value) {
$statement->bindValue($key, $value, typeToParam($value));
}
return $statement;
}