更安全。

$galleries = array(1,2,5);
array_walk($galleries , 'intval');
$ids = implode(',', $galleries);
$sql = "SELECT * FROM galleries WHERE id IN ($ids)";

无PDO的安全方法:

$ids = array_filter(array_unique(array_map('intval', (array)$ids)));

if ($ids) {
    $query = 'SELECT * FROM `galleries` WHERE `id` IN ('.implode(',', $ids).');';
}

将$ids变量强制转换为数组 将所有数组值转换为整数 移除重复的值 删除零值 内爆连接所有值到IN选择

我们应该注意SQL注入漏洞和空条件。我将按以下方式处理这两个问题。

对于纯数值数组，在每个元素上使用适当的类型转换，即intval或floatval或doubleval。对于字符串类型mysqli_real_escape_string()，如果您愿意，也可以应用于数值。MySQL允许数字和日期变量作为字符串。

为了在传递到查询之前适当地转义值，创建一个类似于以下的函数:

function escape($string)
{
    // Assuming $db is a link identifier returned by mysqli_connect() or mysqli_init()
    return mysqli_real_escape_string($db, $string);
}

这样的函数很可能在您的应用程序中已经可用，或者您已经创建了一个。

净化字符串数组，如下所示:

$values = array_map('escape', $gallaries);

数值数组可以使用intval或floatval或doubleval来进行清理:

$values = array_map('intval', $gallaries);

最后构建查询条件

$where  = count($values) ? "`id` = '" . implode("' OR `id` = '", $values) . "'" : 0;

or

$where  = count($values) ? "`id` IN ('" . implode("', '", $values) . "')" : 0;

因为数组有时也可以是空的，比如$galleries = array();因此，我们应该注意IN()不允许空列表。也可以用OR代替，但问题仍然存在。因此，上面的检查count($values)是为了确保相同。

并将其添加到最后的查询:

$query  = 'SELECT * FROM `galleries` WHERE ' . $where;

提示:如果你想在一个空数组的情况下显示所有记录(不过滤)，而不是隐藏所有行，只需在三元的false部分将0替换为1。

所有交易所:

$query = "SELECT * FROM `$table` WHERE `$column` IN(".implode(',',$array).")";

字符串:

$query = "SELECT * FROM `$table` WHERE `$column` IN('".implode("','",$array)."')";

除了使用IN查询，您还有两个选择，因为在IN查询中存在SQL注入漏洞的风险。您可以使用循环来获得所需的确切数据，也可以使用带有or大小写的查询

1. SELECT *
      FROM galleries WHERE id=1 or id=2 or id=5;


2. $ids = array(1, 2, 5);
   foreach ($ids as $id) {
      $data[] = SELECT *
                    FROM galleries WHERE id= $id;
   }

对于带有转义函数的MySQLi:

$ids = array_map(function($a) use($mysqli) { 
    return is_string($a) ? "'".$mysqli->real_escape_string($a)."'" : $a;
  }, $ids);
$ids = join(',', $ids);  
$result = $mysqli->query("SELECT * FROM galleries WHERE id IN ($ids)");

对于带准备语句的PDO:

$qmarks = implode(',', array_fill(0, count($ids), '?'));
$sth = $dbh->prepare("SELECT * FROM galleries WHERE id IN ($qmarks)");
$sth->execute($ids);