23

我想根据 url 字符串选择一些 id,但使用我的代码它只显示第一个。如果我手动编写 id,它会很好用。

我有一个像这样的网址 http://www.mydomain.com/myfile.php?theurl=1,2,3,4,5 (ids)

现在在 myfile.php 我有我的 sql 连接和:

$ids = $_GET['theurl']; (and i am getting 1,2,3,4,5)

如果我使用这个:

$sql = "select * from info WHERE `id` IN (1,2,3,4,5)";
$slqtwo = mysql_query($sql);
while ($tc = mysql_fetch_assoc($slqtwo)) {
    echo $tc['a_name'];
    echo " - ";
}

我得到了正确的结果。现在,如果我使用下面的代码它不起作用:

$sql = "select * from info WHERE `id` IN ('$ids')";
$slqtwo = mysql_query($sql);
while ($tc = mysql_fetch_assoc($slqtwo)) {
    echo $tc['a_name'];
    echo " - ";
}

有什么建议么?

4

2 回答 2

48

当你插值

"select * from info WHERE `id` IN ('$ids')"

使用您的 ID,您将获得:

"select * from info WHERE `id` IN ('1,2,3,4,5')"

...它将您的一组 ID 视为单个字符串而不是一组整数。

去掉IN子句中的单引号,如下所示:

"select * from info WHERE `id` IN ($ids)"

另外,不要忘记您需要检查SQL 注入攻击。您的代码目前非常危险,并且存在严重数据丢失或访问的风险。考虑一下如果有人使用以下 URL 调用您的网页并且您的代码允许他们在单个查询中执行多个语句会发生什么情况:

http://www.example.com/myfile.php?theurl=1);delete from info;--
于 2013-12-24T14:17:42.963 回答
4

您也可以尝试FIND_IN_SET()函数

$SQL = "select * from info WHERE FIND_IN_SET(`id`, '$ids')"

或者

$SQL = "select * from info WHERE `id` IN ($ids)"
于 2013-12-24T14:20:39.143 回答