动态准备陈述是否不好？(用php + mysqli)

Question

我喜欢Dynamic SQL的灵活性,我喜欢准备语句的安全性+改进性能.所以我真正想要的是动态准备语句,这很麻烦,因为bind_param和bind_result接受"固定"数量的参数.所以我使用了一个eval()语句来解决这个问题.但我觉得这是一个坏主意.这是我的意思的示例代码

// array of WHERE conditions
$param = array('customer_id'=>1, 'qty'=>'2');
$stmt = $mysqli->stmt_init();

$types = ''; $bindParam = array(); $where = ''; $count = 0;

// build the dynamic sql and param bind conditions
foreach($param as $key=>$val)
{
    $types .= 'i';
    $bindParam[] = '$p'.$count.'=$param["'.$key.'"]'; 
    $where .= "$key = ? AND ";
    $count++;
}

// prepare the query -- SELECT * FROM t1 WHERE customer_id = ? AND qty = ?
$sql = "SELECT * FROM t1 WHERE ".substr($where, 0, strlen($where)-4);
$stmt->prepare($sql);

// assemble the bind_param command
$command = '$stmt->bind_param($types, '.implode(', ', $bindParam).');';

// evaluate the command -- $stmt->bind_param($types,$p0=$param["customer_id"],$p1=$param["qty"]);
eval($command);

最后一个eval()语句是个坏主意吗？我试图通过在变量名$ param后面封装值来避免代码注入.

有没有人有意见或其他建议？我需要注意哪些问题？

Answer 1

我认为eval()在这里使用是危险的.

试试这个:

• 迭代params数组以构建带有问号的SQL字符串 "SELECT * FROM t1 WHERE p1 = ? AND p2 = ?"
• 呼吁prepare()那
• 用来call_user_func_array()调用bind_param(),传入动态params数组.

代码:

call_user_func_array(array($stmt, 'bind_param'), array($types)+$param);