Я просто хочу знать, что когда дело доходит до вставки данных в базу данных с помощью mysqli, если это лучший способ сделать это ниже или есть намного лучший способ?Является ли этот метод вставки правильным при использовании mysqli
$insert = array();
for ($i = 1, $n = $_SESSION['sessionNum']; $i <= $n; ++$i)
{
$insert[] = "'". mysqli_real_escape_string($_SESSION['id']) . ($n == 1 ? '' : $i) . "','". mysqli_real_escape_string($_SESSION['timeChosen']) ."','". mysqli_real_escape_string(date("Y-m-d", strtotime($_SESSION['dateChosen']))) ."'
,'". mysqli_real_escape_string($_SESSION['textWeight']) ."','". mysqli_real_escape_string($time) ."','". mysqli_real_escape_string($_SESSION['textMarks']) ."'
,'". mysqli_real_escape_string($_SESSION['module']) ."','". mysqli_real_escape_string($teacherid) ."','". mysqli_real_escape_string($_SESSION['rooms']) ."'";
}
$insertsql = "INSERT INTO Session (SessionId, SessionTime, SessionDate, SessionWeight, SessionDuration, TotalMarks, ModuleId, TeacherId, Room)
VALUES (" . implode('), (', $insert) . ")";
$sqlstmt=$mysqli->prepare($insertsql);
$sqlstmt->execute();
Вы не используете подготовленные заявления ... Вы по-прежнему вручную избежать ввода. – nickb
Я не поклонник подготовленных заявлений, но он делает код более читабельным! – powtac
Может ли кто-нибудь показать небольшой пример использования подготовленного оператора для вставки? – user1394925