Почему так работает, а так нет?

Question

[littleguga]

Здравствуйте, можете объяснить, почему первый код работает, а второй нет?

$sql = "UPDATE `$dbname` SET `bText`=:bText WHERE `type`=:type AND `bId`=:bId";
$stm = $pdo->prepare($sql);
$stm->bindParam(":bText", $_POST['bText']);
$stm->bindParam(":type", $_POST['type']);
$stm->bindParam(":bId", $_POST['bId']);
$stm->execute();

$sql = "UPDATE `$dbname` SET `bText`=:bText WHERE `type`=:type AND `bId`=:bId";
$stm = $pdo->prepare($sql);
foreach($_POST as $key => $val){
	if(!in_array($key,$not)){
		$stm->bindParam(":$key", $val);
		echo ":$key - $val"; //это выводит правильно :bText - и значение $_POST['bText']
	}
}
$stm->execute();

Заранее благодарен за ответ!

Comments

[DAlex]

А откуда у вас берётся переменная $not?

Answer 1

[D']

С PHP.NET:

Связывает PHP переменную с именованным или неименованным параметром подготавливаемого SQL запроса. В отличие от PDOStatement::bindValue(), переменная привязывается по ссылке, и ее значение будет вычисляться во время вызова PDOStatement::execute().

Во втором случае в момент, когда происходит связывание переменная уже не существует. Попробуйте использовать bindValue.

Answer 2

[FanatPHP]

Потому что во втором случае ты занимаешься ерундой.
Причем дважды
Раз уж ты используешь именованные плейсхолдеры, то зачем их привязывать по одному? Ну ведь они специально сделаны для того, чтобы просто передать ассоциативный массив в execute()!
Тем более, что у тебя совершенно правильная идея отфильтровать ненужное из массива $_POST. Ну так вот сначала отфильтруй, а потом тупо передавай на исполнение, без всяких циклов. Только способ фильтрации у тебя неправильный. Надо не лишнее выкидывать, а нужное контролировать.

Всегда может возникнуть такая ситуация, когда пользователь не имеет права изменять ту или иную колонку в таблице. Поэтому-то и надо всегда четко указывать, какие конкретно поля ты хочешь обновить- ведь из браузера к тебе может придти любой набор полей.

$in = ['bText','type','bId'];
$data = array_intersect_key($_POST, array_flip($in));
$sql = "UPDATE `$dbname` SET `bText`=:bText WHERE `type`=:type AND `bId`=:bId";
$stm = $pdo->prepare($sql);
$stm->execute($data);

А так-то да, Денормализатор правильно написал. Я же тебе давал ссылку, в которой написано, что bindValue() всегда следует предпочесть bindParam(). Там же написано, что ни ту ни другую использовать не нужно.

Comments

[Андрей Мохов]

array_intersect_key делает сравнение по ключам, следовательно массив $in нужно объявить так:
$in = ['bText' => 1,'type' => 1,'bId' => 1];

[FanatPHP]

Андрей Мохов: Да, точно. Спасибо! Ужасно, когда руки не успевают за мыслью.

[littleguga]

Да, я прочитал ту статью. Но наткнулся на еще одну. Да и в целом, хочу всё пощупать, чтобы понять, что и как.

[littleguga]

FanatPHP: Там приводится собственная функция pdoSet(), принцип которой я еще не до конца понял.

[FanatPHP]

при чем здесь pdoSet(), если я прямо здесь написал цитату, о которой идет речь?

[FanatPHP]

глобал для пдо используй на здоровье.

[littleguga]

FanatPHP: про то, что лучше использовать bindParam() я понял. Но тут то я в ручную прописал placeholder'ы, а pdoSet() автоматом.

[littleguga]

FanatPHP: это про вопрос с почты? А можете поподробнее? Читал на хабре статью(про то, почему тех реализация WordPress плоха), там было сказано, что глобальных нужно избегать и еще раз избегать.

[FanatPHP]

littleguga: 1. НЕ bindParam а bindValue. 2. На самом деле ни то ни другое. 3. pdoSet() ВООБЩЕ не про это. Она дл неизвестного числа параметров. А оно у тебя известное. То есть ТУПО ПЕРЕДАТЬ МАССИВ - И ВСЕ

[littleguga]

FanatPHP: 1. когда известное число параметров - моя задача в execute() передавать массив обработанных значений?
2. для того, чтобы перегнать значения из $_POST в мой массив для дальнейшей обработки используется код: , который меняет массивы значениями.?
$data = array_intersect_key($_POST, array_flip($in));
3. bindValue() всегда следует предпочесть bindParam(). То ли я не понимаю русского языка, но по-моему это значит, что лучше использовать bindParam(), чем bindValue(), ибо вместо bindValue() всегда следует выбрать bindParam()?

[FanatPHP]

1. да. 2. код не меняет массивы значениями. он оставляет только те ключи котоыре есть в обоих массивах - то есть убирает все лишнее. 3. ДА, ты не понимаешь русского, хотя фраза действительно не слишком удачная.

[FanatPHP]

подожди, что ты называешь "обработанными" значениями?

[littleguga]

FanatPHP: спросил у нескольких людей рядом, в том числе и у препода, он сказал мою вариацию :/
ну и афоризм, тоже подтверждает, что нужно выбирать bindParam() - www.aphorism.ru/comments/4dehp8ir65.html

[littleguga]

FanatPHP: выкинуть из них лишнее, например, защита от xss, оставить только нужное и безопасное

[FanatPHP]

да, все верно. фраза читается в обе стороны. Эти долбаные термины ведь не склоняются. Если бы склонялись, то читалось бы однозначно: читалось бы САНДАЛИИ ВСЕГДА СЛЕДУЕТ ПРЕДПОЧЕСТЬ КРЫЛЬЯМ

[littleguga]

FanatPHP: и можете, пожалуйста, ответить на почту подробнее про глобальные переменные.

[FanatPHP]

littleguga: я не понимаю, как ты можешь говорить, что bindParam лучше, ЕСЛИ У ТЕБЯ ОН НЕ РАБОТАЕТ? :)))

[FanatPHP]

И не говори мне про другие статьи. их пишут идиоты, которые не понимают, что делают.

[littleguga]

FanatPHP: FanatPHP: stackoverflow.com/questions/1179874/pdo-bindparam-...
Их разница только в том, что bindValue() записывает значение при первом вызове, а bindParam() записывает только во время вызова execute(). По сути безопаснее записывать тогда, когда мы имеем значение bindValue(), ибо bindParam() хранит ссылку, а как изменится значение по ссылке - неизвестно. Но формулировка на том сайте - хоть убейся.

[littleguga]

FanatPHP: вообще-то работает :) Первый кусок кода отлично всё записывает в БД.
FanatPHP: а ту статью Вы писали?

[FanatPHP]

зачем ты все время даешь ссылку на stackoverflow, если Denormalization тебе давной уже то же самое написал? Кстати, выбери его ответ как полезный. В отличие от меня он прямо ответил на твой вопрос, и ответил правильно.

[FanatPHP]

При чем здесь первый кусок кода, если ты пришел сюда с вопросом про второй?

[littleguga]

FanatPHP: понял. Спасибо за помощь.
Так ту статью Вы писали?)

[FanatPHP]

какую

[littleguga]

FanatPHP: phpfaq.ru/pdo

[FanatPHP]

эту я

Answer 3

[Андрей Мохов]

код верен, если переменные и массивы корректны, какая ошибка?

Comments

[FanatPHP]

код неверен

[littleguga]

Никакой. Просто не добавляет в БД и всё.

[Андрей Мохов]

вам уже ответили, код действительно не верный, используйте либо bindValue, либо (что лучше) так, как предложил FanatPHP