我正在编写一个查询,该查询使用来自搜索表单的输入,其中品牌、类型和价格是可选输入字段:
SELECT * FROM `database` WHERE `brand` LIKE "%' . $brand . '%" AND `type` LIKE "%' . $type. '%" AND `price` LIKE "%' . $price . '%"
我想知道如果没有在其中一个字段中输入任何内容,是否有办法说“全部”。例如,如果他们没有在价格字段中输入值,是否有办法告诉 SQL 只说忽略该部分,例如:
AND `price` LIKE "*";
所以结果仍然按品牌和类型过滤,但可以有任何价格。
对此的任何建议表示赞赏!谢谢
正如 Ariel 所提到的,最好让 PHP 在构建查询时进行过滤。这是这样做的代码示例:
<?php
$sql = 'SELECT * FROM `database`';
$where = array();
if ($brand !== '') $where[] = '`brand` LIKE "%'.$brand.'%"';
if ($type !== '') $where[] = '`type` LIKE "%'.$type.'%"';
if ($price !== '') $where[] = '`price` LIKE "%'.$price.'%"';
if (count($where) > 0) {
$sql .= ' WHERE '.implode(' AND ', $where);
} else {
// Error out; must specify at least one!
}
// Run $sql
注意:请,请,请确保在以这种方式使用它们之前对$brand,$type和$price变量内容进行清理,否则您将容易受到 SQL 注入攻击(理想情况下,您应该使用带有准备好的语句的 PHP PDO数据库连接器来清理输入)。
通常您使用前端语言而不是 SQL 来执行此操作。
但price LIKE '%'实际上,是否意味着所有(NULL 除外)。所以你可能没问题。
如果您组织了表单字段,则可以执行以下操作:
<?php
$fields = array(
// Form // SQL
'brand' => 'brand',
'type' => 'type',
'price' => 'price',
);
$sql = 'SELECT * FROM `database`';
$comb = ' WHERE ';
foreach($fields as $form => $sqlfield)
{
if (!isset($_POST[$form]))
continue;
if (empty($_POST[$form]))
continue;
// You can complicate your $fields structure and e.g. use an array
// with both sql field name and "acceptable regexp" to check input
// ...
// This uses the obsolete form for mysql_*
$sql .= $comb . $sqlfield . ' LIKE "%'
. mysql_real_escape_string($_POST[$form])
. '"';
/* To use PDO, you would do something like
$sql .= $comb . $sqlfield . 'LIKE ?';
$par[] = $_POST[$form];
*/
$comb = ' AND ';
}
// Other SQL to go here
$sql .= " ORDER BY brand;";
/* In PDO, after preparing query, you would bind parameters
- $par[0] is value for parameter 1 and so on.
foreach($par as $n => $value)
bindParam($n+1, '%'.$value.'%');
*/