Можно ли формировать sql запрос таким образом?

Question

[maks78945]

Есть форма, id и name полей идентичные как и в БД. С помощью js проверить заполненность полей, если всё верно, вызывать функцию в которую передавать массив "id" => 'value', на php получаем этот массив, перебираем массив и записываем в строку ($str) значения "id = 'value'" и подставить эту строку в запрос:
$query = "UPDATE product SET".$str."WHERE id=12";

Comments

[FanatPHP]

какой-то странный запрос. имеется в виду name = value где name это имя поля?

[maks78945]

FanatPHP, Да, все верно.Просто у меня около 20 полей, не всегда все заменяются, и перезаписывать их нет смысла. Хочу как-то обойтись что бы перезаписывались только те поля которые были изменены, но не могу придумать адекватный вариант, не думаю что то что я написал это здравая идея

[Дмитрий]

Кроме фронт валидации, лучше иметь ещё и бэк валидацию

Answer 1

[FanatPHP]

В целом подход правильный, но главное здесь не пропустить SQL инъекцию.

В пхп скрипте надо один раз надо записать в массив все имена полей.
Потом пробегать по этому массиву и смотреть, заполнено ли соответствующее поле в массиве, пришедшем с клиента. Если заполнено - добавляем в запрос поле с плейсхолдером, а значение - в массив значений.
Последним пунктом добавляем в массив значений id
потом подготавливаем запрос и исполняем его
Пример кода можно посмотреть здесь

Answer 2

[ThunderCat]

1) id = 'value' это наверное `fieldname` = 'value'?
2)

на php получаем этот массив, перебираем массив и записываем в строку ($str) значения "id = 'value'"

можно заменить на implode(',', $array);, но это все равно плохо, см. пункт 3.
3) Вставлять переменные проверенные яваскриптом на фронтенде в запрос - ОЧЕНЬ плохая идея, данные во первых надо проверять на стороне сервера, а во вторых использовать подготовленные запросы, иначе в один прекрасный день все ваши данные превратятся в тыкву.

Comments

[FanatPHP]

Здесь одной подготовленности недостаточно, надо еще имена полей проверять по белому списку

[Vitsliputsli]

FanatPHP, когда вы будете биндить переменные в подготовленный запрос вы их явно пропишите, вот и белый список. Или имеете ввиду что-то иное?

[FanatPHP]

Vitsliputsli Биндить и белый список это две разные вещи нельзя из одного сделать другое. "Явное прописывание переменных" ничего общего с белым списком не имеет. В обычный дырявый запрос переменные тоже переменные записываются "явно".

Что я имел в виду, см. в моем ответе. Надо различать, о каких "переменных идёт речь - с данными или с именами полей, и не грести все под одну гребенку

[Vitsliputsli]

FanatPHP, можете пример привести, т.к. в вашем ответе не слишком понятно, о каком списке полей идёт речь, или речь про динамически формируемый SQL?

[FanatPHP]

Vitsliputsli, в вопросе идет речь про динамически формируемый SQL
Ответ, который вы комментируете, не имеет смысла вне контейста про динамические запросы

[Vitsliputsli]

FanatPHP, да, что то тупанул.

[ThunderCat]

Vitsliputsli,

когда вы будете биндить переменные в подготовленный запрос вы их явно пропишите, вот и белый список. Или имеете ввиду что-то иное?

Смысл в том что имена полей тоже могут быть источником компрометации запроса, если не проверены на список допустимых значений. На самом деле для защиты достаточно санитайза, однако для правильной работы и более качественной обработки исключений белые списки предпочтительнее. В нормально организованных структурах валидацию полей и значений берет на себя модель или репозиторий, в вашем случае все это надо делать "руками".

[Vitsliputsli]

ThunderCat, говорю ж тупанул, как-то не подумал о том, что вопрос о динамическом SQL и имена полей можно забирать прямо из запроса и фигачить в запрос.