1

我试图从 $_POST 值创建一个 MySql 查询问题是我不想使用所有 $_POST 值,因为有些值用于其他用途,所以我试图将值名称与数组进行比较以查看它们是否是实际归档在数据库中,然后如果他们从名称和值中创建查询字符串

这就是我现在所拥有的

$i = 1;
$b = 1;

$cnt = count($_POST);

foreach ($_POST as $key => $entry)
{

$array = array('Country', 'County', 'Age', 'ect', 'ect');

foreach ($array as $arrayValue) {
    if ($arrayValue == $key) {
$b++;
        if($i == 1) {$query[] = "$key='$entry'";} 
         elseif($cnt == $b) {$query[] = "$key='$entry'";} 
           else {$query[] = "$key='$entry' AND ";}
$i++;
    }
}

}

我现在卡住了,我不确定如何将 $QUERY 数组中的所有值转换为单个字符串,即$search = "country='United Kingdom' AND county ='example'"

任何帮助将非常感激。

4

5 回答 5

1
$query = array();
$vars = array('Country', 'County', 'Age', 'etc1', 'etc2');
foreach ($vars as $v)
{
    if (isset($_POST[$v]))
    {
        $query[] = $v.' = "'.addslashes($_POST[$v]).'"';
    }
}
$query = implode(' AND ', $query);
于 2012-04-08T19:46:17.693 回答
1

你把事情复杂化了。如果您知道要使用哪些变量,只需检查它们并构建您的查询:

$sql = "SELECT * FROM mytable WHERE ";

$sql_array = array();

if(isset($_POST['A'])) { $sql_array[] = 'some_col_a = '.$_POST['A']; }
if(isset($_POST['B'])) { $sql_array[] = 'some_col_b = '.$_POST['B']; }
if(isset($_POST['C'])) { $sql_array[] = 'some_col_c = '.$_POST['C']; }

$sql .= implode(' AND ', $sql_array);

您还需要检查 mysql 攻击等,但这是纯粹的基础。

于 2012-04-08T19:48:09.143 回答
1

我建议使用:

A. 不区分大小写的使用strtolower

B. 卫生使用 mysql_real_escape_string

C.in_array用于验证

D.implode把所有东西放在一起

$_POST['Country']  = "United Kingdom" ;
$_POST['County']  = "example" ;
$array = array('Country', 'County', 'Age', 'ect', 'ect');
$query = array();

foreach ($_POST as $key => $entry)
{
    if(in_array(strtolower($key), $array) || in_array($key, $array))  
    {
        $query[] = $key . " = '" . mysql_real_escape_string($_POST[$key]) . "'";

    }
}

$search = implode(" AND ", $query);
var_dump($search);

输出

string 'Country= 'United Kingdom' AND County= 'example'' (length=47)

选修的

// Optional 
// You array is inconsistent  and contains case sensitive values .. use can use this to convert them to small letters 
array_walk($array, "toLower");
function toLower(&$item, $key)
{
    $item = strtolower($item);
}
于 2012-04-08T19:58:50.460 回答
0

implode功能。您应该' AND '用作 $glue 参数。

于 2012-04-08T19:46:33.803 回答
0

PDO 将为您提供几个优势;更不用说参数化查询了。我创建了一个要点,它将为您提供一种仅将所需参数列入白名单、构建 SQL 查询并执行参数化 PDO 查询的方法。

  1. 第 08 - 18 行为您提供 SQL 来构建一个临时数据库/表来测试它。
  2. 第 23 - 27 行处理白名单和 where 子句构建(只需将 'AND' 替换为 'OR' 以构建“ANY”类型过滤器而不是“ALL”)
  3. 第 41 行构建完整的 SQL 查询
  4. 第 50 行执行参数化查询。

$parameters根据我们的示例,数组将包含以下内容:

array(3) {
  'Country' => string(3) "USA"
  'County'  => string(6) "Nassau"
  'Age'     => string(2) "21"
}

$whereClause: _

string(38) "Country = ? AND County = ? AND Age = ?"

$sql: _

string(72) "SELECT * FROM pdo_whitelist WHERE Country = ? AND County = ? AND Age = ?"

源码的白名单部分(完整源码在https://gist.github.com/2340119):

<?php

// whitelist parameters
$post_input = ['Country' => 'USA', 'County' => 'Nassau', 'Age' => 21, 'EscalatePriviledge' => true, 'MakeMeSuperUser' => 1];
$whitelist  = ['Country', 'County', 'Age'];
$parameters = array_map('trim', array_intersect_key($post_input, array_flip($whitelist)));
$wheres     = array_map(function($fieldName){ return "${fieldName} = ?"; }, array_keys($parameters));
$whereClause= join(' AND ', $wheres);
// you should validate and normalize here as well (see: php.net/filter_var)

处理参数化查询的 PDO 代码:

$statement = $pdo->prepare($sql);
$statement->execute(array_values($parameters));

最后,总结一下链接供大家参考:

于 2012-04-08T22:53:12.527 回答