1

我觉得这个搜索查询没有像我想象的那样工作。我想确定唯一选择的项目是那些ksisoldby与. 用s 和s指定的其他字段是缩小选择范围的可能方式。ILIKE$userANDOR

"SELECT 
id,
status,
customer_id,
shipping_address_id,
order_number,
reference,
ship_via_id,
order_date :: date,
due_date :: date,
created,
sales_tax,
freight,
taxable,
nontaxable,
job_name,
order_description,
ship_to_name,
ship_to_address1,
ship_to_address2,
ship_to_city,
ship_to_state,
ship_to_zipcode,
name,
address1,
address2,
city,
state,
zipcode,
act_ship_date,
ksisoldby
FROM sales_orders 
WHERE ksisoldby ILIKE '".$user."'
AND (order_description ilike 
'%".implode("%' AND order_description like '%", $search)."%')
OR (order_number ilike 
'%".implode("%' AND order_number like '%", $search)."%')
OR (name ilike 
'%".implode("%' AND name like '%", $search)."%')
OR (reference ilike 
'%".implode("%' AND name like '%", $search)."%')
ORDER BY order_number DESC";

我是否正确地做到了这一点,是我的数据设置不正确,还是这些AND和/或OR语句覆盖了该WHERE子句?谢谢您的帮助。

4

1 回答 1

3

这里的关键字是运算符优先级AND之前绑定OR

WHERE ksisoldby ILIKE '".$user."'
AND (
     order_description ilike '%".implode("%'
     AND order_description like '%", $search)."%')
  OR order_number ilike '%".implode("%'
     AND order_number like '%", $search)."%'
  OR name ilike '%".implode("%'
     AND name like '%", $search)."%'
  OR reference ilike '%".implode("%'
     AND name like '%", $search)."%'
    )

WHERE子句中的所有项目都被评估为一个布尔结果。如果你

想要确定唯一选择的项目是 ksisoldby 与 $user 相同 [...] 的项目

那么您必须将OR'ed 标准包装在括号中,否则他们将提供替代方法来获得资格。

另一方面,您可以AND像我演示的那样删除 'ed 对周围的括号。

我添加了(语法上不相关的)空格和换行符以使其更清晰。

顺便说一句 - 正如评论中提到的那样 - 如果您不想要表格中的所有列,列出您想要的列(就像您拥有它一样)是最佳方式。

我还会考虑使用准备好的语句(或带参数的服务器端函数)而不是构建一个大查询字符串来防止 SQL 注入。您的框架可能提供了一些方法来做到这一点。或者您可以手动进行。

在您继续构建查询字符串时,请使用它quote_literal()来清理用户输入。

于 2012-07-15T15:33:02.727 回答