0

我在一个可以过滤和显示任务的站点上有一个 ajax 搜索功能。我可能想查看我的任务和其他任务,或者只是我的任务,或者只是其他任务。

我根据ajax请求传递的参数附加sql字符串。

在服务器端,它看起来像这样https://stackoverflow.com/a/17333371/89211(但显然经过适当的消毒。)

有没有更好的方法来实现与链接答案中显示的相同的目的?我在这里简化了场景。有许多过滤器可以任意组合使用。当使用具有大量选项的搜索和过滤功能时,我无法想象这是创建 sql 的方式。

4

1 回答 1

0

为了避免 SQL 注入攻击并保持可读性,您应该使用参数绑定。

http://php.net/manual/en/mysqli-stmt.bind-param.php

于 2013-09-13T05:29:34.483 回答