Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

AndersonWS

Melhorar classe genérica CRUD

Recommended Posts

Galera estou aprendendo então minha classe ainda tem muito a melhorar por isso peço ajuda, dicas e orientações para melhoria da classe.

O que eu fiz funciona mas preciso melhorar. Umas das coisa que eu gostaria seria usar o bindParam ou algo para evitar o SQL Injection.

Segue o que eu consegui fazer:

public function update($tableName, array $data, $cond, array $condParams) 
	{
		$set = array();
		foreach(array_combine($condParams, $data) AS $v1 => $v2) {
			$set[] = $v1 . ' = '.$v2;
		}

		$sql = 'UPDATE ' . $tableName. ' SET ' . join(', ', $set). ' WHERE '. $cond;

		$this->sql = $sql;
		// consulta que retorna
		$query = $this->db->prepare($this->sql); 
		$query->execute();
		
	}

Sugestões?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Segue uma ideia:

    public function update()
    {
        $updateSets = '';
	
       /**
        * fieldsValues é um array associativo qualquer, 
        * Ex: ['nome' => 'joao', 'idade' => 10];
        */
        foreach ($this->fieldsValues as $field => $value) {
            $updateSets .= sprintf('%s = :%s,', $field, $field);
        }

        $updateSets = substr($updateSets, 0, -1);
    
        $sql = sprintf(
                    "update %s set %s where id = %s", 
                    $this->table, $updateSets, $this->id
                );

        $this->stmt = $this->conn->prepare($sql);
        $this->stmt->execute($this->fieldsValues);
    }

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

na vdd não existe formula mágica, cada um tem uma maneira de fazer, mas, neste seu caso ainda falta retorno para uma resposta nas classes que vão se estender/receber/enviar os dados.

Cada função do Mysql você faz um método e retorna o resultado (true, false, erro (com possibilidade de callback)), e f**a-se pra quem achar ruim.

 

Compartilhar este post


Link para o post
Compartilhar em outros sites
1 hora atrás, EdCesar disse:

Segue uma ideia:

Na verdade não entendi muito. Isto que você fez torna mais seguro contra SQL Injection por exemplo?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Mais uma dúvida.
Antes eu usava assim:

$nome	= trim($_POST['nome']);
$nome 	= mysql_real_escape_string($nome);

Agora li que teria que usar assim:

$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (?, ?)");
$stmt->bindParam(1, $name);
$stmt->bindParam(2, $value);

Como adaptar isso a minha classe genérica?

Compartilhar este post


Link para o post
Compartilhar em outros sites

 

Na minha sugestão, "compilando", ficaria assim:
 

$data = [
    'nome' => 'joao',
    'idade' => 10,
];

$stmt = $conn->prepare('update alunos set nome = :nome, idade = :idade where id = 3');
$stmt->execute($data);

Geraria o código acima de forma automatizada, e tratando de forma eficaz (não definitiva) contra SQL Injection. Todos os valores serão tratados com PDO::PARAM_STR
 

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Antes de se proteger contra SQL Injection, precisa entender o que é e como funciona. Leia no site https://phpdelusions.net/ aonde existe o artigo mais completo que já li.

Compartilhar este post


Link para o post
Compartilhar em outros sites
2 horas atrás, Gabriel Heming disse:

Antes de se proteger contra SQL Injection, precisa entender o que é e como funciona. Leia no site https://phpdelusions.net/ aonde existe o artigo mais completo que já li.

 

Olhei a documentação e fiz assim:

public function inserir($tabela, array $data, array $allowed, $where) {
		try {
			
			$values = []; 
			$set = "" ; 
			foreach ( $allowed as $field ) 
			{ 
				if (isset( $data [ $field ])) 
				{ 
					$set .= "`" . str_replace ( "`" , "``" , $field ). "`" . "=:$field , " ; 
					$values [ $field ] = $data [ $field ]; 
				} 
			} 
			$set = substr ( $set , 0 , - 2 );  
			
			//$query = $this->db->prepare ( "INSERT INTO " .$tabela. " SET $set " .$where. "" ); 
			$query = $this->db->prepare("UPDATE " .$tabela. " SET $set " .$where. "" ); 
			$query -> execute ( $values ); 
					
		} catch (PDOException $e) {
			echo "Ocorreu um erro: " .$e->getMessage();
		}
	}

O que acham? Está correta? E quanto a segurança da query?
 

 

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

  • Conteúdo Similar

    • Por ILR master
      Fala galera, tudo bem?
       
      Tenho o seguinte codigo:
       
       class Data {
      public static function ExibirTempoDecorrido($date)
      {
          if(empty($date))
          {
              return "Informe a data";
          }
          $periodos = array("segundo", "minuto", "hora", "dia", "semana", "mês", "ano", "década");
          $duracao = array("60","60","24","7","4.35","12","10");
          $agora = time();
          $unix_data = strtotime($date);
          // check validity of date
          if(empty($unix_data))
          {  
              return "Bad date";
          }
          // is it future date or past date
          if($agora > $unix_data) 
          {  
              $diferenca     = $agora - $unix_data;
              $tempo         = "atrás";
          } 
          else 
          {
              $diferenca     = $unix_data - $agora;
              $tempo         = "agora";
          }
          for($j = 0; $diferenca >= $duracao[$j] && $j < count($duracao)-1; $j++) 
          {
              $diferenca /= $duracao[$j];
          }
          $diferenca = round($diferenca);
          if($diferenca != 1) 
          {
              $periodos[$j].= "s";
          }
          return "$diferenca $periodos[$j] {$tempo}";
      }
      }
       
      Funciona redondinho se o valor retornado for de algumas horas, mas...
      Quando passa de dois meses, ele retorna a palavra mess. Deve ser por conta dessa linha
      if($diferenca != 1) 
          {
              $periodos[$j].= "s";
          }
       
      Quero que modre:
       
      2 meses atrás
      e não
      2 mess atrás.
       
      Espero que tenham entendido.
       
      Valeu
    • Por Carlos Web Soluções Web
      Olá...
      Estou tentando fazer o seguinte !!
      Listando dados em tabela !!
      Gostaria que....se na listagem houver 4 linhas...indepedente de seu número de ID, faça a listagem em ID ser em ordem 1 2 3 4 !!
      Exemplo...se tiver uma listagem de dados que está em ID 1 3 3...faça ficar 1 2 3 !!

       
      echo "<table class='tabela_dados' border='1'> <tr> <td>ID</td> <td>Nome Empresa</td> <td>Responsável</td> <td>Telefone 1</td> <td>Telefone 2</td> <td>E-mail 1</td> <td>E-mail 2</td> <td>Endereço</td> <td>CEP</td> <td>Bairro</td> <td>AÇÃO 1</td> <td>AÇÃO 2</td> </tr> "; $sql = "SELECT ID FROM usuarios_dados WHERE Usuario='$usuario'"; $result = $conn->query($sql); $num_rows = $result->num_rows; $Novo_ID = 1; for ($i = 0; $i < $num_rows; $i++) { $registro = $result -> fetch_row(); $sql2 = "UPDATE usuarios_dados SET ID='$Novo_ID' WHERE ID='$Novo_ID'"; $result2 = $conn->query($sql2); $Novo_ID++; } $sql = "SELECT * FROM usuarios_dados"; $result = $conn->query($sql); if ($result->num_rows > 0) { // output data of each row while($row = $result->fetch_assoc()) { echo "<tr> <td>$row[ID]</td> <td>$row[Nome_Empresa]</td> <td>$row[Responsavel]</td> <td>$row[Telefone_1]</td> <td>$row[Telefone_2]</td> <td>$row[Email_1]</td> <td>$row[Email_2]</td> <td>$row[Endereço]</td> <td>$row[CEP]</td> <td>$row[Bairro]</td> <td> <form method='post' action='Editar_Dados.php'> <input type='hidden' name='usuario' value='$usuario'> <input type='hidden' name='senha' value='$senha'> <input type='hidden' name='ID' value='$row[ID]'> <input type='submit' style='padding: 10px;' value='EDITAR'> </form> </td> <td> <form method='post' action='Deletar_Dados.php'> <input type='hidden' name='usuario' value='$usuario'> <input type='hidden' name='senha' value='$senha'> <input type='hidden' name='ID' value='$row[ID]'> <input type='submit' style='padding: 10px;' value='DELETAR'> </form> </td> </tr> "; } } else { echo "0 results"; } $conn->close();  
    • Por ILR master
      Boa tarde pessoal, tudo bem ?
       
      Eu uso o tinymce para cadastro de textos no meu siite, porém, quero fazer um sistema para que os colunistas possam fazer o próprio post.
      O problema do tinymce, é que ele mantém a formatação do texto copiado, como tamanho de fonts, negritos, etc... Quero que o usuário cole o texto e a própria textarea limpe a formatação para que ele formate como quiser.
       
      A pergunta é:
       
      O tinymce tem uma opção para desabilitar a formatação quando um texto é colocado?
      Tem alguma função via java ou php para retirar a formatação assim que o texto é colado?
      Ou é melhor usar um outro editor?
       
      Agradeço deste já.
    • Por Giovanird
      Olá a todos!
      Tenho uma pagina que possui uma DIV onde coloquei uma pagina PHP.
      Uso a função setInterval para atualizar a pagina inclusa dentro da DIV.
      O problema é que ao acessar o site , a DIV só me mostra a pagina inclusa somente quando completo o primeiro minuto.
      Preciso que a pagina inclusa já inicie carregada
       
      Meu código JavaScript e a DIV com a pagina PHP
       
      <script> function atualiza(){ var url = 'direita.php'; $.get(url, function(dataReturn) { $('#direita').html(dataReturn); }); } setInterval("atualiza()",60000); </script> <div> <span id="direita"></span> </div>  
    • Por ILR master
      Fala pessoal.
       
      Seguinte:
       
      Quero selecionar duas tabelas e mostrar com resultados intercalados. Abaixo segue um código explicando para vcs terem uma ideia.
       
      $consulta = "SELECT A.*, B.* FROM tabela1 A, tabela2 B'";
      $resultado = mysqli_query($conexao, $consulta) or die ("erro");
      while($busca = mysqli_fetch_array($resultado)){
       
      print $busca['cod_evento']; --> traz o código da tabela1 
      print $busca['titulo_evento']; -->  traz o titulo da tabela1
      print $busca['cod_noticia']; --> traz o código da tabela2
      print $busca['titulo_noticia']; --> traz o tituloda tabela2
       
      }
       
      Espero que entendam. Grato
       
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.