Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

AndersonWS

Melhorar classe genérica CRUD

Por , em PHP

Recommended Posts

AndersonWS    10

AndersonWS
Postado

Galera estou aprendendo então minha classe ainda tem muito a melhorar por isso peço ajuda, dicas e orientações para melhoria da classe.

O que eu fiz funciona mas preciso melhorar. Umas das coisa que eu gostaria seria usar o bindParam ou algo para evitar o SQL Injection.

Segue o que eu consegui fazer: 

public function update($tableName, array $data, $cond, array $condParams) 
	{
		$set = array();
		foreach(array_combine($condParams, $data) AS $v1 => $v2) {
			$set[] = $v1 . ' = '.$v2;
		}

		$sql = 'UPDATE ' . $tableName. ' SET ' . join(', ', $set). ' WHERE '. $cond;

		$this->sql = $sql;
		// consulta que retorna
		$query = $this->db->prepare($this->sql); 
		$query->execute();
		
	}

Sugestões?

Compartilhar este post

Link para o post
Compartilhar em outros sites

EdCesar    124

EdCesar
Postado

Segue uma ideia: 

    public function update()
    {
        $updateSets = '';
	
       /**
        * fieldsValues é um array associativo qualquer, 
        * Ex: ['nome' => 'joao', 'idade' => 10];
        */
        foreach ($this->fieldsValues as $field => $value) {
            $updateSets .= sprintf('%s = :%s,', $field, $field);
        }

        $updateSets = substr($updateSets, 0, -1);
    
        $sql = sprintf(
                    "update %s set %s where id = %s", 
                    $this->table, $updateSets, $this->id
                );

        $this->stmt = $this->conn->prepare($sql);
        $this->stmt->execute($this->fieldsValues);
    }

 

Compartilhar este post

Link para o post
Compartilhar em outros sites

quimera    13

quimera
Postado

na vdd não existe formula mágica, cada um tem uma maneira de fazer, mas, neste seu caso ainda falta retorno para uma resposta nas classes que vão se estender/receber/enviar os dados.

Cada função do Mysql você faz um método e retorna o resultado (true, false, erro (com possibilidade de callback)), e f**a-se pra quem achar ruim.

 

Compartilhar este post

Link para o post
Compartilhar em outros sites

AndersonWS    10

AndersonWS
Postado
1 hora atrás, EdCesar disse:

Segue uma ideia:

Na verdade não entendi muito. Isto que você fez torna mais seguro contra SQL Injection por exemplo?

Compartilhar este post

Link para o post
Compartilhar em outros sites

AndersonWS    10

AndersonWS
Postado

Mais uma dúvida.
Antes eu usava assim: 

$nome	= trim($_POST['nome']);
$nome 	= mysql_real_escape_string($nome);

Agora li que teria que usar assim: 

$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
$stmt->bindParam(1, $name);
$stmt->bindParam(2, $value);

Como adaptar isso a minha classe genérica?

Compartilhar este post

Link para o post
Compartilhar em outros sites

EdCesar    124

EdCesar
Postado

 

Na minha sugestão, "compilando", ficaria assim:
  

$data = [
    'nome' => 'joao',
    'idade' => 10,
];

$stmt = $conn->prepare('update alunos set nome = :nome, idade = :idade where id = 3');
$stmt->execute($data);

Geraria o código acima de forma automatizada, e tratando de forma eficaz (não definitiva) contra SQL Injection. Todos os valores serão tratados com PDO::PARAM_STR
 

 

Compartilhar este post

Link para o post
Compartilhar em outros sites

Gabriel Heming    766

Gabriel Heming
Postado

Antes de se proteger contra SQL Injection, precisa entender o que é e como funciona. Leia no site https://phpdelusions.net/ aonde existe o artigo mais completo que já li.

Compartilhar este post

Link para o post
Compartilhar em outros sites

AndersonWS    10

AndersonWS
Postado
2 horas atrás, Gabriel Heming disse:

Antes de se proteger contra SQL Injection, precisa entender o que é e como funciona. Leia no site https://phpdelusions.net/ aonde existe o artigo mais completo que já li.

 

Olhei a documentação e fiz assim: 

public function inserir($tabela, array $data, array $allowed, $where) {
		try {
			
			$values = []; 
			$set = "" ; 
			foreach ( $allowed as $field ) 
			{ 
				if (isset( $data [ $field ])) 
				{ 
					$set .= "`" . str_replace ( "`" , "``" , $field ). "`" . "=:$field , " ; 
					$values [ $field ] = $data [ $field ]; 
				} 
			} 
			$set = substr ( $set , 0 , - 2 );  
			
			//$query = $this->db->prepare ( "INSERT INTO " .$tabela. " SET $set " .$where. "" ); 
			$query = $this->db->prepare("UPDATE " .$tabela. " SET $set " .$where. "" ); 
			$query -> execute ( $values ); 
					
		} catch (PDOException $e) {
			echo "Ocorreu um erro: " .$e->getMessage();
		}
	}

O que acham? Está correta? E quanto a segurança da query?
 

 

 

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos PHP

  • Conteúdo Similar

    • ILR master
      Consulta sem duplicação
      Por ILR master
      Tudo bem pessoal?
       
      No código abaixo, estou fazendo uma consulta nas tabelas, banners e banners_referencia
      Meu objetivo é trazer resultados com valores iguais ao nome da cidade declarada na $cidade ou resultados com a referencia Total.
      O problema é que está trazendo todos os resultados. Tenho 10 linhas, 1 com o nome da cidade e duas com o valor Total, então o resultado teria que ser de apenas 3 linhas, mas mostra tudo.
       
      $banner = "SELECT A.*, B.* FROM banners A, banners_referencia B WHERE B.cod_referencia = A.cod_referencia AND A.cidade = '$cidade' OR B.referencia = 'Total' ORDER BY RAND()";
      $banner = mysqli_query($conexao, $banner) or die ("Banner não encontrado");
      while($busca= mysqli_fetch_array($banner)){
          print $busca['cidade'].'<br>';
      };
       
      Alguém consegue me ajudar?
    • Rafael_Ferreira
      Não consigo carregar imagem do captcha no meu formulário
      Por Rafael_Ferreira
      Não consigo carregar a imagem do captcha do meu formulário. Foi testado com o xampp e easyphp. Também não carregou a imagem de outros captcha. 
       
       
    • luiz monteiro
      php + mysql - where do select em campo varchar com dados numéricos com zeros a direita
      Por luiz monteiro
      Olá, tudo bem?
       
      Estou melhorando meu conhecimento em php e mysql e, me deparei com o seguinte. A tabela da base de dados tem um campo do tipo varchar(8) o qual armazena números. Eu não posso alterar o tipo desse campo. O que preciso é fazer um select para retornar o números que contenham zeros a direita ou a esquerda.
      O que tentei até agora
       
      Ex1
      $busca = $conexao->prepare("select campo form tabela where (campo = :campo) ");
      $busca->bindParam('campo', $_REQUEST['campo_form']);
       
      Se a direita da string $_REQUEST['campo_form'] termina ou inicia com zero ou zeros, a busca retorna vazio.
      Inseri dados numéricos, da seguinte maneira para testar: 01234567;  12345670: 12345678: 12340000... entre outros nessa coluna. Todos os valores que não terminam ou não iniciam com zero ou zeros, o select funciona.
       
       
      Ex2
      $busca = $conexao->prepare("select campo form tabela where (campo = 0340000) ");
      Esse número está cadastrado, mas não retorna.
       
      Ex3
      $busca = $conexao->prepare("select campo form tabela where (campo = '02340001' ) ");
      Esse número está cadastrado, mas não retorna.
       
       
      Ex4
      $busca = $conexao->prepare("select campo form tabela where (campo like 2340000) ");
      Esse número está cadastrado, mas não retorna.
       
      Ex5
      $busca = $conexao->prepare("select campo form tabela where (campo like '12340000') ");
      Esse número está cadastrado, mas não retorna.
       
      Ex6
      $busca = $conexao->prepare("select campo form tabela where (campo like '"12340000"' ) ");
      Esse número está cadastrado, mas não retorna.
       
       
      Ex7
      $busca = $conexao->prepare("select campo form tabela where (campo like :campo) ");
      $busca->bindParam('campo', $_REQUEST['campo_form'])
      Não retorna dados.
       
      O  $_REQUEST['campo_form'] é envio via AJAX de um formulário. 
      Usei o gettype para verificar o post, e ele retorna string.
      Fiz uma busca com número 12345678 para verificar o que o select retorna, e também retrona como string.
       
      Esse tipo de varchar foi usado porque os números que serão gravados nesse campo,  terão zeros a direita ou na esquerda. Os tipos number do mysql não gravam zeros, então estou usando esse. O problema é a busca.
      Agradeço desde já.
       
       
    • daemon
      lendo RSS com PHP mostrando a imagem de preview
      Por daemon
      Boa tarde,
       
      Eu tenho uma rotina que faz uma leitura do arquivo .xml de vários sites.

      Eu consigo pegar o tópico e a descrição, e mostrar a imagem que esta na pagina do link.
      Para isso utilizo esta função:
      function getPreviewImage($url) { // Obter o conteúdo da página $html = file_get_contents($url); // Criar um novo objeto DOMDocument $doc = new DOMDocument(); @$doc->loadHTML($html); // Procurar pela tag meta og:image $tags = $doc->getElementsByTagName('meta'); foreach ($tags as $tag) { if ($tag->getAttribute('property') == 'og:image') { return $tag->getAttribute('content'); } } // Se não encontrar og:image, procurar pela primeira imagem na página $tags = $doc->getElementsByTagName('img'); if ($tags->length > 0) { return $tags->item(0)->getAttribute('src'); } // Se não encontrar nenhuma imagem, retornar null return null; } // Uso: $url = "https://example.com/article"; $imageUrl = getPreviewImage($url); if ($imageUrl) { echo "<img src='$imageUrl' alt='Preview'>"; } else { echo "Nenhuma imagem encontrada"; }  
      Mas estou com um problema, esta funcão funciona quando coloco em uma pagina de teste.php. Preciso mostrar em uma página inicial diversas fotos de todos os links. (No caso acima só funciona 1).
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito