给定一个ids数组$galleries = array(1,2,5),我想有一个SQL查询,在它的WHERE子句中使用数组的值,如:
SELECT *
FROM galleries
WHERE id = /* values of array $galleries... eg. (1 || 2 || 5) */
我如何生成这个查询字符串与MySQL使用?
当前回答
除了使用IN查询,您还有两个选择,因为在IN查询中存在SQL注入漏洞的风险。您可以使用循环来获得所需的确切数据,也可以使用带有or大小写的查询
1. SELECT *
FROM galleries WHERE id=1 or id=2 or id=5;
2. $ids = array(1, 2, 5);
foreach ($ids as $id) {
$data[] = SELECT *
FROM galleries WHERE id= $id;
}
其他回答
Use:
select id from galleries where id in (1, 2, 5);
一个简单的for每个循环将工作。
Flavius/AvatarKava的方法更好,但要确保数组值中没有逗号。
除了使用IN查询,您还有两个选择,因为在IN查询中存在SQL注入漏洞的风险。您可以使用循环来获得所需的确切数据,也可以使用带有or大小写的查询
1. SELECT *
FROM galleries WHERE id=1 or id=2 or id=5;
2. $ids = array(1, 2, 5);
foreach ($ids as $id) {
$data[] = SELECT *
FROM galleries WHERE id= $id;
}
再举一个例子:
$galleryIds = [1, '2', 'Vitruvian Man'];
$ids = array_filter($galleryIds, function($n){return (is_numeric($n));});
$ids = implode(', ', $ids);
$sql = "SELECT * FROM galleries WHERE id IN ({$ids})";
// output: 'SELECT * FROM galleries WHERE id IN (1, 2)'
$statement = $pdo->prepare($sql);
$statement->execute();
正如Flavius Stef的回答,你可以使用intval()来确保所有id都是int值:
$ids = join(',', array_map('intval', $galleries));
$sql = "SELECT * FROM galleries WHERE id IN ($ids)";
我们应该注意SQL注入漏洞和空条件。我将按以下方式处理这两个问题。
对于纯数值数组,在每个元素上使用适当的类型转换,即intval或floatval或doubleval。对于字符串类型mysqli_real_escape_string(),如果您愿意,也可以应用于数值。MySQL允许数字和日期变量作为字符串。
为了在传递到查询之前适当地转义值,创建一个类似于以下的函数:
function escape($string)
{
// Assuming $db is a link identifier returned by mysqli_connect() or mysqli_init()
return mysqli_real_escape_string($db, $string);
}
这样的函数很可能在您的应用程序中已经可用,或者您已经创建了一个。
净化字符串数组,如下所示:
$values = array_map('escape', $gallaries);
数值数组可以使用intval或floatval或doubleval来进行清理:
$values = array_map('intval', $gallaries);
最后构建查询条件
$where = count($values) ? "`id` = '" . implode("' OR `id` = '", $values) . "'" : 0;
or
$where = count($values) ? "`id` IN ('" . implode("', '", $values) . "')" : 0;
因为数组有时也可以是空的,比如$galleries = array();因此,我们应该注意IN()不允许空列表。也可以用OR代替,但问题仍然存在。因此,上面的检查count($values)是为了确保相同。
并将其添加到最后的查询:
$query = 'SELECT * FROM `galleries` WHERE ' . $where;
提示:如果你想在一个空数组的情况下显示所有记录(不过滤),而不是隐藏所有行,只需在三元的false部分将0替换为1。
推荐文章
- 如何关闭mysql密码验证?
- MySQL区分大小写查询
- MySQL数据库表中的最大记录数
- 原则-如何打印出真正的sql,而不仅仅是准备好的语句?
- 如何从关联PHP数组中获得第一项?
- PHP/MySQL插入一行然后获取id
- 我如何排序一个多维数组在PHP
- 如何在PHP中截断字符串最接近于一定数量的字符?
- PHP错误:“zip扩展名和unzip命令都没有,跳过。”
- Nginx提供下载。php文件,而不是执行它们
- Json_encode()转义正斜杠
- 如何在PHP中捕获cURL错误
- 如何从命令行通过mysql运行一个查询?
- 如何从命令行在windows中找到mysql数据目录
- 如何要求一个分叉与作曲家?
