Comment gérer les instructions préparées avec la condition IN() dans WordPress ?

Gestion des instructions préparées avec la condition IN() dans WordPress

WordPress fournit des instructions préparées pour se protéger contre les attaques par injection SQL et améliorer les performances des requêtes. Cependant, l'utilisation de la condition IN() avec plusieurs valeurs dans une chaîne peut présenter des défis.

Énoncé du problème :

Considérez la situation suivante :

$villes = '"paris","fes","rabat"';
$sql = 'SELECT distinct telecopie FROM `comptage_fax` WHERE `ville` IN(%s)';
$query = $wpdb->prepare($sql, $villes);

Ce code n'échappe pas correctement à la chaîne, ce qui donne une seule chaîne avec un double échappé citations :

SELECT distinct telecopie FROM `comptage_fax` WHERE `ville` IN('\"paris\",\"fes\",\"rabat\"')

Solution :

Pour implémenter correctement une instruction préparée avec plusieurs valeurs dans WordPress, suivez ces étapes :

// Create an array of the values to use in the list
$villes = array('paris', 'fes', 'rabat');

// Generate the SQL statement.
// Number of %s items based on length of $villes array
$sql = "
  SELECT DISTINCT telecopie
  FROM `comptage_fax`
  WHERE `ville` IN(" . implode(', ', array_fill(0, count($villes), '%s')) . ")
";

// Call $wpdb->prepare passing the values of the array as separate arguments
$query = call_user_func_array(array($wpdb, 'prepare'), array_merge(array($sql), $villes));

Fonctions PHP Utilisé :

• implode() - Joint les éléments du tableau en une chaîne
• array_fill() - Crée un tableau rempli avec une valeur spécifique
• call_user_func_array() - Appelle un fonction avec les paramètres passés sous forme de tableau
• array_merge() - Fusionne deux tableaux

Cette approche garantit que les valeurs dans $villes sont correctement échappées et traitées comme valeurs distinctes dans la condition IN().

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!