Я использую функцию в php для всех запросов, чтобы я мог динамически извлекать данные из моей базы данных ..... Я просто хотел знать, что мой код безопасен и эффективен, или если их это лучший способ сделать это, если это так, пожалуйста, мне точку в правильном направлении ... спасибос помощью mysqli для извлечения пользовательских данных
class mysql {
private $conn;
function __construct(){
$this->conn= new mysqli(DB_SERVER, DB_USER, DB_PASSWORD, DB_NAME);
if(mysqli_connect_errno())
{
trigger_error('Error connecting to host. '.$this->connections[$connection_id]->error, E_USER_ERROR);
}
}
function extracting_data($table, $fields,$condition,$order,$limit){
$query="SELECT ".$fields."
FROM ".$table."
WHERE id =".$this->sql_quote($condition)."
ORDER BY ".$order."
LIMIT ".$limit." ";
//echo $query;
if($stmt = $this->conn->prepare($query)) {
$stmt->execute();
$row = array_pad(array(), $stmt->field_count, '');
$params = array();
foreach($row as $k=>$v) {
$params[] = &$row[$k];
}
call_user_func_array(array($stmt,'bind_result'),$params);
$result = array();
while($stmt->fetch()) {
foreach ($row as $b=>$elem) {
$vals[$b]=$row[$b];
}
$result[]=$vals;
}
$stmt->close();
return $result;
}
}
function sql_quote($value)
{
if(get_magic_quotes_gpc())
{
$value = stripslashes($value);
}
//check if this function exists
if(function_exists("mysql_real_escape_string"))
{
$value = mysql_real_escape_string($value);
}
//for PHP version < 4.3.0 use addslashes
else
{
$value = addslashes($value);
}
return $value;
}
}
Теперь для вызова функции я использую ::>
$connection=New mysql();
$extract=$connection->extracting_data("tablename","id,name,points","$_GET['id']","date desc","0,10");
функция возвращает многомерный массив в $ result и сохраняет его в $ extract, в зависимости от данных, которые я хочу извлечь. Любые улучшения или другие предложения были бы оценены ...
Мне нужен php ver 5.3 для этого ??? ... – halocursed