PHP MySQL обзор GET кода
Я думаю, что это довольно простой вопрос. Это мой лучший выбор или есть "правильный" способ сделать это?
<?php
$correctOrder = array("name", "address", "phone", "starttime", "endtime",
"status", "details");
$sql->sql1 = "SELECT * FROM 'pickups' WHERE";
if (isset($_GET["name"])){
$sql->sql2 = "'name' LIKE '%" . $_GET['name'] . "%'";
}
if (isset($_GET["address"])){
if (!isset($_GET['name'])){
$q = "'address' LIKE '%" . $_GET['address'] . "%'";
} else {
$q = "AND 'address' LIKE '%" . $_GET['address'] . "%'";
}
$sql->sql3 = $q;
}
...
...
echo implode(" ", (array) $sql);
?>
Итак, прямо сейчас:
?name=Jari%20Martikainen&address=some%20random%20street
а также
?name=Jari%20Martikainen&address=some%20random%20street&blah=har
а также
?address=some%20random%20street&blah=har&name=Jari%20Martikainen
все возвращают тот же результат, который желателен, но он просто не кажется очень эффективным способом делать что-то.
3 ответа
Создайте массив ($ands) из предложений AND, но без "AND".
$ands = array();
if (...)
$ands[] = "name LIKE ...";
if (...)
$ands[] = "address LIKE ...";
...
Затем постройте запрос:
$query = "SELECT ... WHERE " . implode(' AND ', $ands);
Я считаю, эта модель должна быть простой, чистой, и избегаю кладжи как 1=1 или удаления дополнительного AND.
Этот код использует массив для определения того, какие параметры ему интересны, и создает массив предложений where.
Причина, по которой я использую "name" => "name" в этом массиве ($correctOrder), заключается в том, что он позволяет $correctOrder имя параметра и имя столбца. Здесь вы должны добавить любые параметры.
Также этот код использует переменные связывания, не уверен, какой вкус базы данных имеет доступ к вашему использованию, но вы можете передать массив $data для execute чтобы связать их.
$correctOrder = array("name" => "name", "address" => "address");
$_GET = [ 'name' => 'name1', 'address' => 'add'];
$where = [];
$data = [];
foreach ( $_GET as $paramName => $param ) {
if ( isset($correctOrder[$paramName]) ) {
$where[] = "'{$correctOrder[$paramName]}' like ? ";
$data[] = '%'.$param.'%';
}
}
$sql = "SELECT * FROM 'pickups'";
if ( count($where) > 0 ){
$sql .= " WHERE ".implode( " and ", $where);
}
echo $sql.PHP_EOL;
print_r($data);
Функция count($where) > 0 добавит только предложение where, если есть что добавить, и implode добавляет соответствующие and бит в качестве клей.
Что с тестовыми данными дает...
SELECT * FROM 'pickups' WHERE 'name' like ? and 'address' like ?
Array
(
[0] => %name1%
[1] => %add%
)
Это действительно работает только со строками, но вы можете добавить специальный код для других полей данных и добавить предложение в массив $where прежде чем попасть в финальную часть, которая строит инструкцию.
Здесь немного больше капитального ремонта, чем вы просили.
Сначала начните предложение WHERE с 1 = 1, затем выполните цикл через свой массив поисковых терминов и расширьте предложение where, если какой-либо из них включен в массив $ _GET.
Во-вторых, я бы использовал объект PDO для подключения к вашей базе данных, а затем BIND значения $ _GET. Это поможет защитить вас от SQL-инъекций/взломов.
Ниже я просматриваю поисковые запросы, сохраняя их в массив с именем $ sqlParams, если в массиве $ _GET есть что-то. Затем я просматриваю $ sqlParams и привязываю значения.
// connect to database via PDO
try {
$db = new PDO($dsn, $username, $password, $options);
} catch (PDOException $e) {
echo 'Connection failed: ' . $e->getMessage();
}
$correctOrder = array("name", "address", "phone", "starttime", "endtime",
"status", "details");
$sql = "SELECT * FROM 'pickups' WHERE 1=1 ";
// check the $_GET array, build SQL, remember values in $sqlParams
$sqlParams = [];
foreach ($correctOrder as $key) {
if (isset($_GET[$key])) {
$sql .= "and '$key' LIKE :$key ";
$sqlParams[":$key"] = "%{$_GET[$key]}%";
}
}
// bind values from $sqlParams into SQL statement
$stmt = $db->prepare($sql);
foreach ($sqlParams as $key => &$value) {
$stmt->bindParam($key, $value);
}
// execute SQL statement, catching exception
try {
$stmt->execute();
} catch (PDOException $e) {
echo 'Connection failed: ' . $e->getMessage();
}
// cycle through results and do stuff
while ($row = $stmt->fetch()) {
print_r($row);
}
-
0Теперь я понимаю, что два приведенных ниже ответа лучше, чем этот, потому что они избегают трюка 1 = 1, а NigelRen также готовит данные для более эффективного связывания.
Ещё вопросы
- 0возвращается значение null при использовании $ location.search
- 1Ionic 4 / Cordova - Получить учетные записи устройства
- 0Переменная как ключ массива - выбрано выпадающее меню Yii
- 0Отображается ли id элемента управления aspx всегда одинаковым в исходном HTML-коде?
- 0AngularJS - как передать объект (созданный на лету) с интерполированными данными в пользовательскую директиву
- 0MySQL: mysqli_fetch_array ()
- 0TypeError: window.parent.updatepic не является функцией, когда я пытаюсь получить доступ к функции из iframe к родителю его окна
- 0Как работает Facebook / Gmail «выход с других устройств»?
- 1Что не так с этим VenuesExplore?
- 0Ошибка в синтаксисе SQL с использованием Node.js
- 0Зачем нужен $ timeout здесь?
- 0Объекты Qt в области просмотра OpenGL
- 0colorbox popup отлично работает на apache, не загружает изображение на nginx
- 0Как использовать этот js-скрипт в Angular: нужно ли создавать сервис?
- 0как конвертировать «\ 327 \ 220 \ 327 \ 250 \ 327 \ 225 \ 327 \ 236» в иврит?
- 0как заставить сравнение даты работать?
- 1Это правильный способ считать в многопоточности?
- 1Обрабатывать ложные аргументы
- 0Есть ли способ избежать # для осады?
- 0Получить предыдущий отображаемый вывод из окна cmd
- 0Codeigniter - как вернуть номер массива в контроллер
- 0Удаление только атрибута позиции в jQuery
- 0Не удалось получить имя пользователя из SID в c ++?
- 0.get List <string> из метода контроллера и отображения
- 1Получить изображение из базы данных SQLSERVER, используя веб-сервис без обработчиков?
- 1Как получить индекс в Datatable
- 1Ошибки Entity Framework Validation неправильно обрабатываются клиентом breeze.sharp
- 0Я хочу получать вложения в электронное письмо от формы
- 1Сериализация ответа xml для модификации с SimpleXML в kotlin
- 1Обновление данных из Vuex дает бесконечный цикл в watcher
- 1Группировка и расчет данных
- 0В AngularJS, как я могу вызвать директиву внутри контроллера для выполнения задачи?
- 1Как получить доступ к ресурсам из JAR?
- 1Почему мой список выходит из области видимости в сообщении WCF?
- 1Телефоны Samsung Galaxy, постоянные для не беспокоить (пирог)
- 1Паспорт Локальная стратегия не называется
- 1Удалить строку заголовка по умолчанию JInternalFrame
- 0остановить событие нажатия клавиши внутри iframe
- 0Необходимо найти МАКСИМАЛЬНОЕ значение между двумя датами аукциона
- 0Нам понадобится несколько советов: я хочу добавить и отобразить объекты в ArrayList с помощью jTable, а затем добавить эти записи в базу данных SQL
- 0Как сохранить пользовательский ввод в поле ввода? [HTML / AngularJS]
- 0Twig не может создать каталог кеша
- 0Пагинация в Yii без базы данных
- 0CryptStringToBinary API поведение
- 0Авто нажмите кнопку выбора файла для HTML-формы
- 0C ++ Двойная перезапись: невозможно преобразовать тип 'в' тип & '
- 1Android P фоновое ограничение для Firebase Cloud Messaging
- 1Невозможно выполнить Javascript из метода Wicket renderHead во второй раз
- 0Не удается заставить этот модульный тест (на помощнике) работать без исключений - AngularJS, Karma, Jasmine
- 1Как написать с функцией 2+ параметров в стиле без точек
correctOrderчто происходит? Это не выглядит наиболее эффективным способом выполнения действий - лучшеcorrectOrder