Code
2024-02-06 09:00:05

使用WHERE子句将数组传递给查询

给定一个ids数组$galleries = array(1,2,5),我想有一个SQL查询,在它的WHERE子句中使用数组的值,如:

SELECT *
FROM galleries
WHERE id = /* values of array $galleries... eg. (1 || 2 || 5) */

我如何生成这个查询字符串与MySQL使用?

当前回答

因为最初的问题涉及到一个数字数组,而我使用的是一个字符串数组,我无法使给定的例子工作。

我发现每个字符串都需要封装在单引号中才能使用in()函数。

这是我的解决方案

foreach($status as $status_a) {
        $status_sql[] = '\''.$status_a.'\'';
    }
    $status = implode(',',$status_sql);

$sql = mysql_query("SELECT * FROM table WHERE id IN ($status)");

正如您所看到的,第一个函数用单引号(\')包装每个数组变量,然后内爆数组。

注意:$status在SQL语句中没有单引号。

可能有更好的方式添加引号,但这是可行的。

2011-01-27 02:43:25

其他回答

使用PDO: [1]

$in = join(',', array_fill(0, count($ids), '?'));
$select = <<<SQL
    SELECT *
    FROM galleries
    WHERE id IN ($in);
SQL;
$statement = $pdo->prepare($select);
$statement->execute($ids);

使用MySQLi [2]

$in = join(',', array_fill(0, count($ids), '?'));
$select = <<<SQL
    SELECT *
    FROM galleries
    WHERE id IN ($in);
SQL;
$statement = $mysqli->prepare($select);
$statement->bind_param(str_repeat('i', count($ids)), ...$ids);
$statement->execute();
$result = $statement->get_result();

解释:

使用SQL IN()操作符检查给定列表中是否存在某个值。

通常情况下是这样的:

expr IN (value,...)

我们可以从数组中构建一个表达式放在()中。注意,括号内必须至少有一个值,否则MySQL将返回错误;这相当于确保我们的输入数组至少有一个值。为了防止SQL注入攻击,首先生成一个?为每个输入项创建参数化查询。这里我假设包含id的数组叫做$ids:

$in = join(',', array_fill(0, count($ids), '?'));

$select = <<<SQL
    SELECT *
    FROM galleries
    WHERE id IN ($in);
SQL;

给定一个包含三个元素的输入数组,$select将如下所示:

SELECT *
FROM galleries
WHERE id IN (?, ?, ?)

再次注意这里有一个?对于输入数组中的每个项。然后,我们将使用PDO或MySQLi来准备和执行上面提到的查询。

对字符串使用IN()操作符

由于绑定了参数,所以很容易在字符串和整数之间进行更改。对于PDO,不需要更改;对于MySQLi,如果你需要检查字符串,将str_repeat('i',改为str_repeat('s'。

[1]:为了简洁,我省略了一些错误检查。您需要检查每个数据库方法的常见错误(或设置您的DB驱动程序抛出异常)。

[2]:要求PHP 5.6或更高版本。为了简洁起见,我再次省略了一些错误检查。

2014-05-13 20:31:36

正如Flavius Stef的回答,你可以使用intval()来确保所有id都是int值:

$ids = join(',', array_map('intval', $galleries));  
$sql = "SELECT * FROM galleries WHERE id IN ($ids)";
2015-04-11 17:48:55

下面是我使用的方法,对其他数据使用带有命名占位符的PDO。为了克服SQL注入,我过滤了数组,只接受整数的值,并拒绝所有其他的值。

$owner_id = 123;
$galleries = array(1,2,5,'abc');

$good_galleries = array_filter($chapter_arr, 'is_numeric');

$sql = "SELECT * FROM galleries WHERE owner=:OWNER_ID AND id IN ($good_galleries)";
$stmt = $dbh->prepare($sql);
$stmt->execute(array(
    "OWNER_ID" => $owner_id,
));

$data = $stmt->fetchAll(PDO::FETCH_ASSOC);
2018-01-24 16:31:28

无PDO的安全方法:

$ids = array_filter(array_unique(array_map('intval', (array)$ids)));

if ($ids) {
    $query = 'SELECT * FROM `galleries` WHERE `id` IN ('.implode(',', $ids).');';
}

将$ids变量强制转换为数组 将所有数组值转换为整数 移除重复的值 删除零值 内爆连接所有值到IN选择

2018-01-30 09:12:17

小心!此答案包含一个严重的SQL注入漏洞。不要使用这里给出的代码示例,除非确保任何外部输入都被清除。

$ids = join("','",$galleries);   
$sql = "SELECT * FROM galleries WHERE id IN ('$ids')";
2009-05-25 19:37:57

推荐文章

aliyun

最新文章

标签

2025 code 京ICP备15047053号-1