Plusieurs valeurs dans where avec les instructions SQL préparées?

Question

Existe-t-il un moyen de sélectionner plusieurs valeurs avec des instructions préparées dans (My-) SQL?

Je suis en train de sélectionner quelques lignes d'une table avec le mot-clé IN, quelque chose comme:

SELECT * 
    FROM table 
where id IN (1, 2, 3) 

Le « 1, 2, 3 » devrait être adopté en tant que paramètre de l'instruction . Est-ce possible avec PHP/PDO ou dois-je concaténer les valeurs et les insérer directement dans la déclaration (j'ai un mauvais pressentiment à cause des injections).

Answer 1

Si vous avez un tableau de « quelque chose » qui vient de l'utilisateur, vous pouvez créer une liste des espaces réservés avec array_fill, générer une chaîne comme "?, ?, ?, ..." en appelant implode sur le tableau. Vous pouvez également vous assurer que tout ce qui est dans le tableau est un nombre entier (en utilisant intval, par exemple) et l'utiliser directement pour créer la requête.

Answer 2

Essayez vous passer dans la liste en tant que chaîne aconcatenated et le faire (pas très performant, mais il devrait fonctionner: Je crois avoir vu une réponse de Joel Spolsky en utilisant quelque part cette technique):

SELECT * FROM table where concat('|',id,'|') like '%|1|2|3|%' 

Answer 3

Je passe dans un tableau d'entiers, puis faites String.Join pour les rassembler dans votre instruction préparée. Vous ne pouvez rien injecter dans un nombre entier!