0

我在一个汽车经销商网站上工作。该经销商使用第三方桌面应用程序来管理库存和在售车辆。此第三方应用程序将车辆数据保存到访问数据库 (.mdb)。我成功连接到这个数据库,以及查看个人记录等等。到目前为止一切都很好。

难题的最后一块是高级搜索条件。这个搜索条件有六个输入;品牌、型号(品牌和型号输入是文本,它们也是使用 AJAX 的级联下拉菜单)、分支、年份(文本)、最低价格和最高价格(这两个价格输入是数据库中的数字数据类型)。

用户很可能不会使用所有可用的输入,因为这通常不会给他们带来任何结果。

此外,如果搜索在这之后仍然有效,并且有人搜索了某些东西但数据库中没有可用的东西,则必须出现一条消息,通知用户所请求的车辆当前不可用。我将如何去做这样的事情?

到目前为止,这是我的代码。

<?php

      $dbName = "F:/Domains/autodeal/autodeal.co.za/wwwroot/newsite/db/savvyautoweb.mdb";

      // Throws an error if the database cannot be found
      if (!file_exists($dbName)) {
        die("Could not find database file.");
      }

      // Connects to the database
      // Assumes there is no username or password
      $conn = odbc_connect("Driver={Microsoft Access Driver (*.mdb)};Dbq=$dbName", '', '');

      if (isset($_REQUEST['submit'])) {
        $searchMake = addslashes($_POST['makeSelection']);
        $searchModel = addslashes($_POST['modelSelection']);
        $searchBranch = addslashes($_POST['branchSelection']);
        $searchYear = addslashes($_POST['yearSelection']);
        $minPrice = addslashes($_POST['minPriceSelection']);
        $maxPrice = addslashes($_POST['maxPriceSelection']);

        $sql = "SELECT Id, Make, Model, Year, Price, SpecialPrice, Branch, StockNO FROM Vehicle WHERE Price BETWEEN $minPrice AND $maxPrice AND Make LIKE '$searchMake' AND Model LIKE '$searchModel' AND Year LIKE '$searchYear' AND Branch LIKE '$searchBranch'";
        $rs = odbc_exec($conn, $sql);


      //} else {
        //$sql = "SELECT Id, Make, Model, Year, Price, SpecialPrice, Branch, StockNO FROM Vehicle ORDER BY Make";
        //$rs = odbc_exec($conn, $sql) or die (odbc_errormsg());

      }   



          echo "\t" . "<tr>\n";

              echo "\t" . "<th>Make</th><th>Model</th><th>Year</th><th>Price</th><th>Special Price</th><th>Location</th><th>Stock Number</th>" . "\n";

                  while (odbc_fetch_row($rs)) { 
                      $id = odbc_result($rs, Id);
                      $make = odbc_result($rs, Make);
                      $model = odbc_result($rs, Model);
                      $year = odbc_result($rs, Year);
                      $price = odbc_result($rs, Price);
                      $specialPrice = odbc_result($rs, SpecialPrice);
                      $branch = odbc_result($rs, Branch);
                      $stockNo = odbc_result($rs, StockNO);

                          echo "\t" . "<tr>\n";
                              echo "\t\t" . "<td>" . $make . "</td><td><a href=/newsite/selected-vehicles?Id=$id>" . $model . "</a></td><td>" . $year . "</td><td>" . $price . "</td><td>" . $specialPrice . "</td><td>" . $branch . "</td><td>" . $stockNo . "</td>\n";

                          echo "\t" . "</tr>\n";
                  }

      odbc_free_result($rs);
      odbc_close($conn);

      // This message is displayed if the query has an error in it
      if (!$rs) {
          exit("There is an error in the SQL!");
      }

  ?>

我将如何使消息出现?

编辑:查询现在可以工作,它会根据所做的选择显示被删除的结果,但必须进行所有选择,否则它不会显示任何内容。

请记住,必须选择品牌。不可能是所有品牌。否则,您可以查看整个表。

如何构建上述查询以将“所有型号”和“任何分支”以及“任何年份”和“任何价格”作为有效选择?

4

1 回答 1

1

您需要考虑所有可能的输入组合,以及这将如何影响发送到数据库的查询。例如,您的查询是通过以下方式构建的:

SELECT Id, Make, Model, Year, Price, SpecialPrice, Branch, StockNO
FROM Vehicle
WHERE 
    Price >= $minPrice AND
    Price <= $maxPrice AND
    Make LIKE 'searchMake' AND
    Model LIKE 'searchModel' AND
    Branch LIKE '$searchBranch'
    AND Year LIKE '$searchYear'

(我已分解查询以使其更易于阅读)。

现在问自己:“如果$minPrice是空的会发生什么”?生成的查询将如下所示:

SELECT Id, Make, Model, Year, Price, SpecialPrice, Branch, StockNO
FROM Vehicle
WHERE 
    Price >=  AND
    Price <= 100 AND
    Make LIKE 'something' AND
    Model LIKE 'something' AND
    Branch LIKE 'something'
    AND Year LIKE 'something'

那不是有效的 SQL:你会得到一个错误。您以这种方式插入的所有其他值都可能发生类似的事情。

另外,我从您的错误消息中注意到您正在搜索诸如--All Models--. 很可能,库存中没有具有该名称的模型。如果要处理这样的值,则需要在将它们提交到数据库之前在代码中对其进行调整。

有几种方法可以处理构建查询:

  1. 您可以编写代码,使其WHERE根据用户提供的值重建子句列表,或者
  2. 您可以为用户忽略的任何值提供合理的默认值,并将“所有模型”之类的任何值替换为与数据库中所有值匹配的值。

现在,关于如何得到你期望的结果的问题:想想你想如何搜索。你得到它的方式,如果所有条件都匹配,你只会得到结果- 即。如果用户输入 Make="Ford" 和 Model="Civic" - 你将一无所获。这可能是您希望它工作的方式,或者您可能希望它返回所有福特和所有本田思域的列表。

最后,关于@Dagon 上述评论的主题 - 您应该考虑使用参数进行查询。这将消除使用类似功能的需要,addslashes并且还将保护您免受 SQL 注入。

于 2014-04-03T20:30:20.813 回答