Code
2024-02-06 09:00:05

使用WHERE子句将数组传递给查询

给定一个ids数组$galleries = array(1,2,5),我想有一个SQL查询,在它的WHERE子句中使用数组的值,如:

SELECT *
FROM galleries
WHERE id = /* values of array $galleries... eg. (1 || 2 || 5) */

我如何生成这个查询字符串与MySQL使用?

当前回答

我们应该注意SQL注入漏洞和空条件。我将按以下方式处理这两个问题。

对于纯数值数组,在每个元素上使用适当的类型转换,即intval或floatval或doubleval。对于字符串类型mysqli_real_escape_string(),如果您愿意,也可以应用于数值。MySQL允许数字和日期变量作为字符串。

为了在传递到查询之前适当地转义值,创建一个类似于以下的函数:

function escape($string)
{
    // Assuming $db is a link identifier returned by mysqli_connect() or mysqli_init()
    return mysqli_real_escape_string($db, $string);
}

这样的函数很可能在您的应用程序中已经可用,或者您已经创建了一个。

净化字符串数组,如下所示:

$values = array_map('escape', $gallaries);

数值数组可以使用intval或floatval或doubleval来进行清理:

$values = array_map('intval', $gallaries);

最后构建查询条件

$where  = count($values) ? "`id` = '" . implode("' OR `id` = '", $values) . "'" : 0;

or

$where  = count($values) ? "`id` IN ('" . implode("', '", $values) . "')" : 0;

因为数组有时也可以是空的,比如$galleries = array();因此,我们应该注意IN()不允许空列表。也可以用OR代替,但问题仍然存在。因此,上面的检查count($values)是为了确保相同。

并将其添加到最后的查询:

$query  = 'SELECT * FROM `galleries` WHERE ' . $where;

提示:如果你想在一个空数组的情况下显示所有记录(不过滤),而不是隐藏所有行,只需在三元的false部分将0替换为1。

2015-04-16 09:12:01

其他回答

Col. Shrapnel的SafeMySQL PHP库在其参数化查询中提供了类型提示占位符,并包括了两个用于处理数组的方便占位符。?a占位符将数组展开为逗号分隔的转义字符串列表*。

例如:

$someArray = [1, 2, 5];
$galleries = $db->getAll("SELECT * FROM galleries WHERE id IN (?a)", $someArray);

*请注意,由于MySQL执行自动类型强制,SafeMySQL将上面的id转换为字符串并不重要-您仍然会得到正确的结果。

2015-05-17 19:03:03

如果正确筛选输入数组,我们可以使用这个"WHERE id IN"子句。就像这样:

$galleries = array();

foreach ($_REQUEST['gallery_id'] as $key => $val) {
    $galleries[$key] = filter_var($val, FILTER_SANITIZE_NUMBER_INT);
}

如下面的例子所示:

$galleryIds = implode(',', $galleries);

也就是说,现在你应该安全地使用$query = "SELECT * FROM galleries WHERE id IN ({$galleryIds})";

2015-04-15 12:57:49

因为最初的问题涉及到一个数字数组,而我使用的是一个字符串数组,我无法使给定的例子工作。

我发现每个字符串都需要封装在单引号中才能使用in()函数。

这是我的解决方案

foreach($status as $status_a) {
        $status_sql[] = '\''.$status_a.'\'';
    }
    $status = implode(',',$status_sql);

$sql = mysql_query("SELECT * FROM table WHERE id IN ($status)");

正如您所看到的,第一个函数用单引号(\')包装每个数组变量,然后内爆数组。

注意:$status在SQL语句中没有单引号。

可能有更好的方式添加引号,但这是可行的。

2011-01-27 02:43:25

无PDO的安全方法:

$ids = array_filter(array_unique(array_map('intval', (array)$ids)));

if ($ids) {
    $query = 'SELECT * FROM `galleries` WHERE `id` IN ('.implode(',', $ids).');';
}

将$ids变量强制转换为数组 将所有数组值转换为整数 移除重复的值 删除零值 内爆连接所有值到IN选择

2018-01-30 09:12:17

假设你事先正确地清理了你的输入……

$matches = implode(',', $galleries);

然后调整你的查询:

SELECT *
FROM galleries
WHERE id IN ( $matches )

根据数据集适当地引用值。

2009-05-25 19:38:46

推荐文章

aliyun

最新文章

标签

2025 code 京ICP备15047053号-1