Как вставить данные в запрос?

Question

[Vova135798]

Как правильно вставлять данные в переменную $query для создания запроса?

class Product{
    public $title;
    public $price = 0;
    public $description;
    public $category;
    public $image;
    public $active = 0;

    private $query = 'INSERT INTO products (title, price, description, category, image, active) VALUES ("{$this->title}", {$this->price}, "{$this->description}", "{$this->category}", "{$this->image}", {$active})';

    public function __construct($title, $price, $description, $category, $image, $active){
        $this->title = $title;
        $this->price = $price;
        $this->description = $description;
        $this->category = $category;
        $this->image = $image;
        $this->active = $active;
    }

    public function addProduct(){
        
    }
}

Comments

[Slava Rozhnev]

Какой драйвер базы данных? PDO? mysqli?

[Vova135798]

Slava Rozhnev, mysqli

[Ипатьев]

вот странно - в предыдущем вопросе у вас подготовленный запрос. Почему же здесь-то как обычно, пихаем все инъекции прямо в SQL?

[Vova135798]

Ипатьев, Создавать товар должен администратор. Зачем ему пихать инъекции

[Ипатьев]

о боже. более дурацкую реплику трудно придумать.

Answer 1

[Ипатьев]

public $query - это неправильно с десятка разных точек зрения, от архитектуры до простой житейской логики.
Но при этом, если бы данные в запрос передавались правильно, а не как как обычно, то чисто технически это бы сработало

В любом случае, public $query убрать, вместо этого добавить private $db, и в конструктор, соответственно, такой же параметр

public function addProduct(){
    $query = 'INSERT INTO products (title, price, description, category, image, active) VALUES (?,?,?,?,?,?)';
    $stmt = $this->db->prepare($query);
    $stmt->bind_param("ssssss", $this->title, $this->price, $this->description, $this->category, $this->image, $this->$active);
    $stmt->execute();
}

Comments

[Vova135798]

$db это new mysqli($host, $name, $password, $db_name);?
Просто уже объявлена переменная для подключения к db в другом файле

[Vova135798]

Vova135798, А мне не нужно ставить дополнительные кавычки в VALUES для строк?

[Ипатьев]

Просто уже объявлена переменная для подключения к db в другом файле

да? ну попробуйте к ней обратиться.
Хотя я не понимаю, как вы добрались до ООП не освоив такую вещь, как область видимости.

[Ипатьев]

А мне не нужно ставить дополнительные кавычки в VALUES для строк?

Ну и где там строки, в VALUES? Покажите хоть одну.

[Vova135798]

Ипатьев, я про тип данных у перенных, которые вставляются в запрос

[Vova135798]

Ипатьев, Тогда что нужно прописать в $db?

[Ипатьев]

а что не так с типом данных, которые вставляются в запрос?
В этом коде чётко указано что все данные вставляются как строки.

вы про подготовленные запросы вообще, что ли ничего не знаете? Откуда он тогда у вас в предыдущем вопросе взялся?

[Ипатьев]

$db это new mysqli($host, $name, $password, $db_name);

[Vova135798]

Ипатьев, Почему-то выдает ошибку при создании этой переменной

[Ипатьев]

Это бывает.
программирование вообще часто связано с ошибками