Как правильно написать метод модели с динамическими полями?

Question

[lexstile]

У пользователя есть 10 полей.
С фронта приходит от 1 до 5 полей, их нужно изменить в БД, не хочется писать под каждое поле отдельный метод в модели и вызывать поочередно.

Накидал такое решение +/-, можно ли как-то его упростить и, может быть, я что-то не учел в нем?
Возможно, есть какие-то ф-ции, которые можно использовать вместо цикла? (не нашел)

public function updateUser($params) {
		$fields = '';

		foreach ($params as $key => $value) {
			if ($key !== 'user_id') {
				$fields .= $key . ' = :' . $key . (end($params) !== $value ? ', ' : '');
			}
		}

		$this->db->query('UPDATE users SET ' . $fields . ' WHERE user_id = :user_id', $params);
	}

Comments

[FanatPHP]

для начала надо не упростить, а защитить. от инъекций

[FanatPHP]

ну и конечно вот это вот end($params) !== $value ? ', ' : '' - кривизна адская

[lexstile]

FanatPHP, буду благодарен, если дадите более конструктивный ответ.

[FanatPHP]

это не ответ, чувак
это комментарии

[lexstile]

FanatPHP, я вижу :)
Поэтому и написал)

[lexstile]

FanatPHP, и, кстати, в комментариях тоже можно давать ответы)
То, что их нельзя отметить, это уже формальность)

[FanatPHP]

но главная проблема этого кода в том что кроме юзеров у тебя будут ещё какие-нибудь статьи.
ты в updateArticle тоже вот это вот всё будешь писать?

[FanatPHP]

комментарии служат для того, чтобы ты сам немного задумался над проблемами своего кода
а не просто раскрыл ротик в ожидании готового решения

[lexstile]

FanatPHP,

но главная проблема этого кода в том что кроме юзеров у тебя будут ещё какие-нибудь статьи.
ты в updateArticle тоже вот это вот всё будешь писать?

Похоже, что придется. Вы клоните к тому, чтобы название таблицы сверху слать или пользоваться конструкцией $this->db->query прямо в контроллере?

[lexstile]

FanatPHP,

комментарии служат для того, чтобы ты сам немного задумался над проблемами своего кода
а не просто раскрыл ротик в ожидании готового решения

1. Тем не менее, многие отвечают на вопрос в комментарии, т. к. это точно такой же инструмент общения;
2. Ну и вы сказали, что все плохо, на просьбу конструктива не ответили, а я и не просил готовое решение.

[FanatPHP]

а как вызов в контроллере поможет избежать дублирования кода?
и почему только название таблицы? тут ещё и user_id прописано

[lexstile]

FanatPHP,

а как вызов в контроллере поможет избежать дублирования кода?

Каждый раз прописывать запрос полностью и с нужными полями, таблицами и условиями.
От дублирования код не спасет, просто в модели не будет кучи подобных методов, вот и все

[FanatPHP]

Не будет в модели, но будет в контроллерах. И в чем смысл?

[lexstile]

FanatPHP, смысла нету конечно. Благодарю за ответ, в ближайшее время ознакомлюсь.

Answer 1

[FanatPHP]

Вопрос очень хороший. И код в целом неплохой. А ошибки совершенно стандартные, их делают все.

Начнем с того, что это никакая не модель.
Модель - это вся бизнес-логика приложения.
А это примитивный класс для манипуляции одной таблицей в базе данных. Подходит под паттерн TableGateway

Причем никакие преимущества ООП в нем не используются.
Этот класс - тупо набор функций. Причем для следующей таблицы придется писать точно такой же.

Соответственно, сначала надо сделать код универсальным, и вынести в абстрактный класс.
Заодно исправив в нём одну критическую ошибку (с безопасностью) и одну логическую.
Что будет, если значения двух последних элементов массива совпадут? Тогда уж надо ключи сравнивать, а не значения.
И зачем вообще такие ухищрения с поиском последнего элемента, если у тебя есть переменная $fields? Если она пустая - значит это первый оборот цикла. Всё, этого достаточно

По поводу безопасности я уже устал объяснять.
Мы старательно защищаем значения, передаваемые в запрос, но при этом не моргнув глазом пропускаем инъекцию через имена полей.
Список полей всегда надо писать явно. Тем более что это потом пригодится в миллионе случаев.

abstract class AbstractTableGateway
{
    protected $db;
    protected $table;
    protected $fields;
    protected $primary = 'id';

    public function __construct(DB $db)
    {
        $this->db = $db;
    }
    public function update(array $params): void
    {
        $this->validate($params);

        $set = "";
        foreach($params as $key => $value)
        {
            if ($key !== $this->primary)
                $set .= ($set ? "," : "") . "`$key` = :$key";
            }
        }
        $sql = "UPDATE `$this->table` SET $set WHERE `$this->primary`=:$this->primary";
        $this->db->query($sql, $params);
    }
    protected function validate($data)
    {
        $diff = array_diff(array_keys($data), $this->fields);
        if ($diff) {
            throw new \InvalidArgumentException("Unknown field(s): ". implode(",",$diff));
        }
    }
}

Но вообще я не рекомендую использовать именованные плейсхолдеры для автоматических запросов. В имени поля могут встречаться символы (например пробелы), которые не годятся для имен плейсхолдеров

После этого уже можно создавать класс юзер (и не повторять, как попугай, user user по 10 раз)

class UserGateway extends AbstractTableGateway {
    protected $table = 'users';
    protected $fields = ['email', 'password', 'name', 'birthday'];
    protected $primary = 'user_id';
}

И спокойно к нему обращаться в коде

$user = new UserGateway();
$user->update($params);

Comments

[lexstile]

Этот класс - тупо набор функций. Причем для следующей таблицы придется писать точно такой же.

А я все в одном фигачу... Когда класс перерос в большой файл, возникали мысли разделить, но до практики я не дошел, хотя выглядит логичным.

Что будет, если значения двух последних элементов массива совпадут? Тогда уж надо ключи сравнивать, а не значения.

Вы правы, не подумал. Не было такого кейса, но он вполне может появиться и тогда все сломается.

И зачем вообще такие ухищрения с поиском последнего элемента, если у тебя есть переменная $fields? Если она пустая - значит это первый оборот цикла. Всё, этого достаточно

Вот этого не понял, к сожалению. Мне нужно поставить запятую после всех элементов кроме последнего.
Я ошибаюсь или этот код ставит ненужную запятую в конце последнего поля?

$set = "";
        foreach($params as $key => $value)
        {
            if ($key !== $this->primary)
                $set .= ($set ? "," : "") . "`$key` = :$key";
            }
        }

Список полей всегда надо писать явно.

А, вот это интересный момент, который был успешно пропущен, согласен с вами, что можно указать список используемых полей в таблице.

Но вообще я не рекомендую использовать именованные плейсхолдеры для автоматических запросов. В имени поля могут встречаться символы (например пробелы), которые не годятся для имен плейсхолдеров

Я думал, что пробелы нельзя использовать.

И большое спасибо за интересный подход к реализации данной задачи.

[FanatPHP]

"Мне нужно поставить запятую после всех элементов кроме последнего." вполне сводится к
"мне нужно поставить замятую ПЕРЕД всеми элементами кроме первого" - логично?

а определить первый легко - в первом элементе переменная $fields ещё пустая

[lexstile]

FanatPHP, да, вы правы, я туплю. Конечно же так лучше.

[FanatPHP]

в имени поля в БД допустимы практически любые символы - русские буквы, точки, пробелы, дефисы
а в имени плейсхолдера только цифры, буквы и подчеркивание

[lexstile]

FanatPHP, хм, интересно, не знал, спасибо.
Но я не использую ничего кроме цифр, нижнего подчеркивания и латинских букв.
Про вероятную проблему понял.

[lexstile]

А что вы думаете, если написать метод на обновление всех полей (один).
Но при его вызове получать текущие поля юзера, мапить на то, что пришло, и обновлять все поля?!
То, что не изменится, перезапишется теми же значениями.

[FanatPHP]

Не понял. а сейчас разве не так работает?
что значит "один"? А сейчас сколько методов?

[lexstile]

FanatPHP, есть один метод - где обновляются за раз абсолютно все поля.
Но когда возникает ситуация - обновить только одно поле или пару, мы делаем следующее:

1. Получаем все поля текущего юзера;
   
2. Мапим приходящие с фронта поля на только что полученные из БД;
   
3. Обновляем, вызвав метод, где поля статические.
   

Т. е. разница получается следующей:

• в этом решении придется дополнительно сделать SELECT.
  
• в решении, которое здесь обсуждалось ранее, этого делать не нужно, там поля динамические
  

[FanatPHP]

я не очень понимаю в чем смысл решения с select

[lexstile]

FanatPHP, не нужно будет прокидывать динамические поля - они будут прописаны явно, ваше решение безусловно лучше, просто хотел узнать, имеет ли шансы на существование такое решение.
Т. е. апдейт любого поля будет сопровождаться полным апдейтом юзера.

[FanatPHP]

имеет. любое решение имеет право на существование
зависит от задачи