PDO не работает

@ChildOfFlowers · Регистрация: 16.04.2012

Студворк — интернет-сервис помощи студентам

...хотя, может быть, проблема и не в PDO. Но кроме него не знаю, на что ещё думать...
Короче:

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
switch($_POST['action']){
        case 'add_office':
            $query = $pdo->prepare('INSERT INTO `Offices`(`id`, `name`, `address`, `email`, `phone`, `ip`) VALUES (:id,:name,:address,:email,:phone,:ip)');
            $query->execute(array('id' => $_POST['id'], 'name' => $_POST['name'], 'address' => $_POST['address'], 'email' => $_POST['email'], 'phone' => $_POST['phone'], 'ip' => $_POST['ip']));
            break;
        case 'update_office':
            unset($_POST['action']);
            
            foreach($_POST as $cell => $value)
            {
                $address = explode(':', $cell);//адрес ячейки приходит в формате "id_строки:имя_столбца"
                $query = $pdo->prepare('UPDATE `Offices` SET `:cell` = ":value" WHERE `id` = ":id"');
                $query->execute(array('id' => $address[0], 'cell' => $address[1], 'value' => $value));
            }
            break;

Кейс "add_office" работает отлично. А вот кейс "update_office" - ни в какую. Синтаксис запроса проверил уже 100 раз, пробовал по разному ставить/убирать кавычки - всё без толку. В чём может быть проблема?

@Para bellum · 17.03.2021, 11:04

Имя таблицы или полей нельзя передавать в виде параметров в подготовленный запрос.

Пишите запрос в "update_office" по подобию того, что в "add_office".

К тому же, такое построение запроса -- дыра в безопасности.

@ChildOfFlowers · 17.03.2021, 11:42 **[ТС]**

Как же я "люблю" этот PDO...
Ну подготовлю я отдельно строку запроса, так же накидаю в неё автоматом имена полей, что от этого изменится?

@Para bellum · 17.03.2021, 12:20

Сообщение от ChildOfFlowers

Ну подготовлю я отдельно строку запроса, так же накидаю в неё автоматом имена полей, что от этого изменится?

Зачем автоматом? Я же говорю, что дыра в безопасности будет. В $_POST что угодно может прийти.

@ChildOfFlowers · 17.03.2021, 15:19 **[ТС]**

Para bellum, а если у меня, допустим, в таблице 100 полей, мне для каждого свой кейс писать?
Я знаю про опасность с инъекциями кода... но в данном то случае как они могут пройти? Если я, допустим, отправлю вредоносный код вместо имени ячейки, запрос просто не найдёт нужную ячейку, и на этом всё. Разве не так?

@Jewbacabra · 17.03.2021, 16:57

Сообщение от ChildOfFlowers

Если я, допустим, отправлю вредоносный код вместо имени ячейки, запрос просто не найдёт нужную ячейку, и на этом всё. Разве не так?

Конечно не так. Отправлю что-то такое column_name = NULL, column_name2 = NULL -- и нет таблицы.

Поэтому данные следует подставлять в запрос через плейсхолдеры. Имена таблиц, столбцов через белый список.

Сообщение от ChildOfFlowers

в таблице 100 полей, мне для каждого свой кейс писать?

Возможностей php достаточно, чтобы собрать один запрос на обновление хоть 100, хоть 1000 столбцов

@Jewbacabra · 17.03.2021, 16:57

Не по теме:

задвоилось что-то

Новые блоги и статьи Все статьи Все блоги /
Символьное дифференцирование igorrr37 13.02.2026 / * Логарифм записывается как: (x-2)log(x^2+2) - означает логарифм (x^2+2) по основанию (x-2). Унарный минус обозначается как ! */ #include <iostream> #include <stack> #include <cctype>. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .

@Para bellum 5755 / 4134 / 1508 Регистрация: 06.01.2011 Сообщений: 11,276
	17.03.2021, 11:04
	Сообщение было отмечено ChildOfFlowers как решение Решение Имя таблицы или полей нельзя передавать в виде параметров в подготовленный запрос. Пишите запрос в "update_office" по подобию того, что в "add_office". К тому же, такое построение запроса -- дыра в безопасности. 1

@ChildOfFlowers 15 / 14 / 9 Регистрация: 16.04.2012 Сообщений: 1,090
	17.03.2021, 11:42 [ТС]
	Как же я "люблю" этот PDO... Ну подготовлю я отдельно строку запроса, так же накидаю в неё автоматом имена полей, что от этого изменится? 0

@ChildOfFlowers 15 / 14 / 9 Регистрация: 16.04.2012 Сообщений: 1,090
	17.03.2021, 15:19 [ТС]
	Para bellum, а если у меня, допустим, в таблице 100 полей, мне для каждого свой кейс писать? Я знаю про опасность с инъекциями кода... но в данном то случае как они могут пройти? Если я, допустим, отправлю вредоносный код вместо имени ячейки, запрос просто не найдёт нужную ячейку, и на этом всё. Разве не так? 0

@Jewbacabra
	17.03.2021, 16:57
	Не по теме: задвоилось что-то 0

PDO не работает

Решение