Как в PDO применить одновременно именованную и не именованную переменную?

Question

[glem1337]

Если я подставляю в строку запроса переменные, то все естественно работает, но с точки зрения безопасности это не правильно:

//Так всё работает
$brand = implode(',',$brand);
$sql = "SELECT * FROM models WHERE category_id=$cat_id AND brand_id IN ($brand)";
$stmt = $pdo->prepare($sql);
$stmt->execute();

Если же я пытаюсь подставить именованную и не именованную переменную , то сразу выдает ошибки:

//Так ошибки
$in  = str_repeat('?,', count($brand) - 1) . '?';
$sql = "SELECT * FROM models WHERE category_id= :cat_id AND brand_id IN ($in)";	
$stmt = $pdo->prepare($sql);
$stmt->execute(array('cat_id'=>$cat_id, $brand));

При этом если я вместо :cat_id поставлю переменную напрямую, то работает, почти то что надо, но все же не то:

$in  = str_repeat('?,', count($brand) - 1) . '?';
$sql = "SELECT * FROM models WHERE category_id=$cat_id AND brand_id IN ($in)";
$stmt = $pdo->prepare($sql);
$stmt->execute($brand);

В общем никак не могу найти способ сделать одновременно и то, и другое. Подскажите, пожалуйста, каким образом это можно реализовать?

Comments

[Иван]

зачем вы в параметрах передаете $brand как элемент массива, когда вы уже его в запросе подставили?

[glem1337]

Иван, если вы про это:

//Так ошибки
$in  = str_repeat('?,', count($brand) - 1) . '?';
$sql = "SELECT * FROM models WHERE category_id= :cat_id AND brand_id IN ($in)";	
$stmt = $pdo->prepare($sql);
$stmt->execute(array('cat_id'=>$cat_id, $brand));

То в переменной $in нет массива, там находится (?,?,?) кол-во вопросительных знаков зависит от того сколько элементов в массиве.

[iljaGolubev]

1. И что же за ошибки?
2. https://phpdelusions.net/pdo#in

$sql = "SELECT * FROM table WHERE foo=:foo AND id IN ($in) AND bar=:bar";
$stm = $db->prepare($sql);
$stm->execute(array_merge($params,$in_params))

[glem1337]

iljaGolubev, благодарю! Дело в том, что я рак. И я даже не подозревал, что можно объединить массивы.