ผ่านอาร์เรย์ไปยังแบบสอบถามโดยใช้คำสั่งย่อย WHERE

รับ array ของรหัส$galleries = array(1,2,5)ฉันต้องการมีแบบสอบถาม SQL ที่ใช้ค่าของอาร์เรย์ในส่วนคำสั่ง WHERE เช่น:

SELECT *
FROM galleries
WHERE id = /* values of array $galleries... eg. (1 || 2 || 5) */

ฉันจะสร้างสตริงการสืบค้นนี้เพื่อใช้กับ MySQL ได้อย่างไร

ระวัง! คำตอบนี้มีช่องโหว่การฉีด SQLอย่างรุนแรง อย่าใช้ตัวอย่างโค้ดตามที่แสดงไว้ที่นี่โดยไม่ทำให้แน่ใจว่าอินพุตภายนอกใด ๆ ถูกทำให้สะอาด

$ids = join("','",$galleries);   
$sql = "SELECT * FROM galleries WHERE id IN ('$ids')";

ใช้ PDO: ^[1]

$in = join(',', array_fill(0, count($ids), '?'));
$select = <<<SQL
    SELECT *
    FROM galleries
    WHERE id IN ($in);
SQL;
$statement = $pdo->prepare($select);
$statement->execute($ids);

ใช้ MySQLi ^[2]

$in = join(',', array_fill(0, count($ids), '?'));
$select = <<<SQL
    SELECT *
    FROM galleries
    WHERE id IN ($in);
SQL;
$statement = $mysqli->prepare($select);
$statement->bind_param(str_repeat('i', count($ids)), ...$ids);
$statement->execute();
$result = $statement->get_result();

คำอธิบาย:

ใช้ตัวIN()ดำเนินการSQL เพื่อตรวจสอบว่ามีค่าอยู่ในรายการที่กำหนดหรือไม่

โดยทั่วไปดูเหมือนว่านี้:

expr IN (value,...)

เราสามารถสร้างการแสดงออกเพื่อวางภายใน()จากอาร์เรย์ของเรา โปรดทราบว่าจะต้องมีอย่างน้อยหนึ่งค่าในวงเล็บหรือ MySQL จะส่งคืนข้อผิดพลาด; นี่เท่ากับทำให้แน่ใจว่าอาร์เรย์ของเรามีค่าอย่างน้อยหนึ่งค่า เพื่อช่วยป้องกันการโจมตีจากการฉีด SQL ก่อนอื่นให้สร้างรายการ?สำหรับแต่ละรายการเพื่อสร้างแบบสอบถามแบบกำหนดพารามิเตอร์ ที่นี่ฉันคิดว่าอาร์เรย์ที่มีรหัสของคุณถูกเรียกว่า$ids:

$in = join(',', array_fill(0, count($ids), '?'));

$select = <<<SQL
    SELECT *
    FROM galleries
    WHERE id IN ($in);
SQL;

เมื่อกำหนดอาร์เรย์อินพุตสามรายการ$selectจะมีลักษณะดังนี้:

SELECT *
FROM galleries
WHERE id IN (?, ?, ?)

โปรดทราบอีกครั้งว่ามี?สำหรับแต่ละรายการในอาร์เรย์อินพุต จากนั้นเราจะใช้ PDO หรือ MySQLi เพื่อจัดทำและดำเนินการแบบสอบถามตามที่ระบุไว้ข้างต้น

การใช้IN()โอเปอเรเตอร์กับสตริง

มันง่ายที่จะเปลี่ยนระหว่างสตริงและจำนวนเต็มเนื่องจากพารามิเตอร์ที่ถูกผูกไว้ สำหรับ PDO ไม่มีการเปลี่ยนแปลงที่จำเป็น สำหรับ MySQLi เปลี่ยนstr_repeat('i',เป็นstr_repeat('s',ถ้าคุณต้องการตรวจสอบสตริง

^{[1]:ฉันละเว้นการตรวจสอบข้อผิดพลาดบางอย่างแล้ว คุณต้องตรวจสอบข้อผิดพลาดตามปกติสำหรับแต่ละวิธีฐานข้อมูล (หรือตั้งค่าไดรเวอร์ DB ของคุณให้มีข้อยกเว้น)}

^{[2]:ต้องการ PHP 5.6 หรือสูงกว่า อีกครั้งฉันได้ละเว้นการตรวจสอบข้อผิดพลาดบางอย่างสั้น ๆ}

ints:

$query = "SELECT * FROM `$table` WHERE `$column` IN(".implode(',',$array).")";

สตริง:

$query = "SELECT * FROM `$table` WHERE `$column` IN('".implode("','",$array)."')";

สมมติว่าคุณฆ่าเชื้ออินพุตของคุณอย่างถูกต้องก่อน ...

$matches = implode(',', $galleries);

จากนั้นเพียงปรับการค้นหาของคุณ:

SELECT *
FROM galleries
WHERE id IN ( $matches ) 

อ้างค่าอย่างเหมาะสมขึ้นอยู่กับชุดข้อมูลของคุณ

ใช้:

select id from galleries where id in (1, 2, 5);

การfor eachวนซ้ำแบบง่ายจะใช้งานได้

วิธีของ Flavius ​​/ AvatarKavaนั้นดีกว่า แต่ให้แน่ใจว่าไม่มีค่าอาร์เรย์ใดที่มีเครื่องหมายจุลภาค

ในฐานะที่เป็นคำตอบของ Flavius ​​Stefคุณสามารถใช้intval()เพื่อให้แน่ใจว่าทั้งหมดidเป็นค่า int:

$ids = join(',', array_map('intval', $galleries));  
$sql = "SELECT * FROM galleries WHERE id IN ($ids)";

สำหรับMySQLi ที่มีฟังก์ชั่นหลบหนี:

$ids = array_map(function($a) use($mysqli) { 
    return is_string($a) ? "'".$mysqli->real_escape_string($a)."'" : $a;
  }, $ids);
$ids = join(',', $ids);  
$result = $mysqli->query("SELECT * FROM galleries WHERE id IN ($ids)");

สำหรับ PDO พร้อมคำสั่งที่เตรียมไว้:

$qmarks = implode(',', array_fill(0, count($ids), '?'));
$sth = $dbh->prepare("SELECT * FROM galleries WHERE id IN ($qmarks)");
$sth->execute($ids);

เราควรดูแลฉีด SQLช่องโหว่และเงื่อนไขที่ว่างเปล่า ฉันจะจัดการทั้งสองอย่างด้านล่าง

สำหรับอาร์เรย์ตัวเลขบริสุทธิ์ใช้ ได้แก่ การแปลงชนิดที่เหมาะสมintvalหรือfloatvalหรือdoublevalมากกว่าแต่ละองค์ประกอบ สำหรับประเภทสตริงmysqli_real_escape_string()ซึ่งอาจนำไปใช้กับค่าตัวเลขหากคุณต้องการ MySQL ช่วยให้ตัวเลขเช่นเดียวกับวันที่สายพันธุ์เป็นสตริง

ในการหลีกเลี่ยงค่าที่เหมาะสมก่อนส่งผ่านไปยังแบบสอบถามให้สร้างฟังก์ชันที่คล้ายกับ:

function escape($string)
{
    // Assuming $db is a link identifier returned by mysqli_connect() or mysqli_init()
    return mysqli_real_escape_string($db, $string);
}

ฟังก์ชั่นดังกล่าวน่าจะพร้อมใช้งานสำหรับคุณในแอปพลิเคชันของคุณแล้วหรือคุณอาจสร้างไว้แล้ว

ฆ่าเชื้ออาร์เรย์สตริงเช่น:

$values = array_map('escape', $gallaries);

อาร์เรย์ตัวเลขสามารถปรุงแต่งใช้intvalหรือfloatvalหรือdoublevalแทนที่จะเป็นที่เหมาะสม:

$values = array_map('intval', $gallaries);

จากนั้นก็สร้างเงื่อนไขการสืบค้น

$where  = count($values) ? "`id` = '" . implode("' OR `id` = '", $values) . "'" : 0;

หรือ

$where  = count($values) ? "`id` IN ('" . implode("', '", $values) . "')" : 0;

เนื่องจากอาร์เรย์อาจว่างเปล่าได้ในบางครั้งเช่น$galleries = array();เราจึงควรทราบว่าIN ()ไม่อนุญาตให้มีรายการว่าง สามารถใช้ORแทนได้ แต่ปัญหายังคงอยู่ ดังนั้นการตรวจสอบข้างต้นcount($values)คือต้องมั่นใจในสิ่งเดียวกัน

และเพิ่มลงในข้อความค้นหาสุดท้าย:

$query  = 'SELECT * FROM `galleries` WHERE ' . $where;

เคล็ดลับ : หากคุณต้องการแสดงระเบียนทั้งหมด (ไม่มีการกรอง) ในกรณีที่อาร์เรย์ว่างเปล่าแทนที่จะซ่อนแถวทั้งหมดเพียงแค่แทนที่0ด้วย1ในส่วนที่ผิดของไตรภาค

ปลอดภัยมากขึ้น

$galleries = array(1,2,5);
array_walk($galleries , 'intval');
$ids = implode(',', $galleries);
$sql = "SELECT * FROM galleries WHERE id IN ($ids)";

ห้องสมุดSafeMySQLของ พ.อ. Shrapnel สำหรับ PHP ให้ตัวยึดตำแหน่งชนิดคำใบ้ในคิวรีแบบ Parametrised และรวมถึงตัวยึดตำแหน่งสองอันที่สะดวกสำหรับการทำงานกับอาร์เรย์ ?aยึดขยายออกอาร์เรย์ไปยังรายการที่คั่นด้วยเครื่องหมายจุลภาคของสตริงหนีนี้ *

ตัวอย่างเช่น:

$someArray = [1, 2, 5];
$galleries = $db->getAll("SELECT * FROM galleries WHERE id IN (?a)", $someArray);

* โปรดทราบว่าเนื่องจาก MySQL ทำการบังคับประเภทอัตโนมัติมันไม่สำคัญว่า SafeMySQL จะแปลงรหัสด้านบนเป็นสตริง - คุณจะยังได้รับผลลัพธ์ที่ถูกต้อง

เราสามารถใช้อนุประโยค "WHERE id IN" นี้หากเรากรองอาเรย์เข้าอย่างถูกต้อง บางสิ่งเช่นนี้

$galleries = array();

foreach ($_REQUEST['gallery_id'] as $key => $val) {
    $galleries[$key] = filter_var($val, FILTER_SANITIZE_NUMBER_INT);
}

เหมือนตัวอย่างด้านล่าง:

$galleryIds = implode(',', $galleries);

คือตอนนี้คุณควรใช้อย่างปลอดภัย $query = "SELECT * FROM galleries WHERE id IN ({$galleryIds})";

คุณอาจมีโต๊ะtexts (T_ID (int), T_TEXT (text))และโต๊ะtest (id (int), var (varchar(255)))

ในinsert into test values (1, '1,2,3') ;ต่อไปนี้จะเอาท์พุทแถวจากข้อความในตารางที่T_ID IN (1,2,3):

SELECT * FROM `texts` WHERE (SELECT FIND_IN_SET( T_ID, ( SELECT var FROM test WHERE id =1 ) ) AS tm) >0

วิธีนี้คุณสามารถจัดการความสัมพันธ์ฐานข้อมูล n2m แบบง่ายโดยไม่ต้องมีตารางเพิ่มเติมและใช้ SQL เพียงอย่างเดียวโดยไม่จำเป็นต้องใช้ PHP หรือภาษาการเขียนโปรแกรมอื่น

ตัวอย่างเพิ่มเติม:

$galleryIds = [1, '2', 'Vitruvian Man'];
$ids = array_filter($galleryIds, function($n){return (is_numeric($n));});
$ids = implode(', ', $ids);

$sql = "SELECT * FROM galleries WHERE id IN ({$ids})";
// output: 'SELECT * FROM galleries WHERE id IN (1, 2)'

$statement = $pdo->prepare($sql);
$statement->execute();

นอกเหนือจากการใช้แบบสอบถาม IN คุณมีสองตัวเลือกในการทำเช่นนั้นในแบบสอบถามแบบ IN มีความเสี่ยงของช่องโหว่การฉีด SQL คุณสามารถใช้การวนซ้ำเพื่อรับข้อมูลที่แน่นอนที่คุณต้องการหรือคุณสามารถใช้แบบสอบถามด้วยหรือกรณี

1. SELECT *
      FROM galleries WHERE id=1 or id=2 or id=5;


2. $ids = array(1, 2, 5);
   foreach ($ids as $id) {
      $data[] = SELECT *
                    FROM galleries WHERE id= $id;
   }

วิธีที่ปลอดภัยโดยไม่มี PDO:

$ids = array_filter(array_unique(array_map('intval', (array)$ids)));

if ($ids) {
    $query = 'SELECT * FROM `galleries` WHERE `id` IN ('.implode(',', $ids).');';
}

• (array)$idsส่ง$idsตัวแปรไปยังอาร์เรย์
• array_map แปลงค่าอาร์เรย์ทั้งหมดเป็นจำนวนเต็ม
• array_unique ลบค่าซ้ำ ๆ
• array_filter ลบค่าศูนย์
• implode เข้าร่วมค่าทั้งหมดเพื่อเลือกใน

เนื่องจากคำถามดั้งเดิมเกี่ยวข้องกับอาร์เรย์ของตัวเลขและฉันใช้อาร์เรย์ของสตริงฉันจึงไม่สามารถทำให้ตัวอย่างที่ให้มาใช้ได้

ฉันพบว่าแต่ละสตริงต้องถูกห่อหุ้มด้วยเครื่องหมายคำพูดเดี่ยวเพื่อทำงานกับIN()ฟังก์ชัน

นี่คือทางออกของฉัน

foreach($status as $status_a) {
        $status_sql[] = '\''.$status_a.'\'';
    }
    $status = implode(',',$status_sql);

$sql = mysql_query("SELECT * FROM table WHERE id IN ($status)");

ในขณะที่คุณสามารถเห็นฟังก์ชั่นแรกห่อแต่ละตัวแปรอาร์เรย์ single quotes (\')และจากนั้น implodes อาร์เรย์

บันทึก: $statusไม่มีเครื่องหมายอัญประกาศเดี่ยวในคำสั่ง SQL

อาจมีวิธีที่ดีกว่าในการเพิ่มราคา แต่ก็ใช้งานได้

ด้านล่างเป็นวิธีที่ฉันใช้โดยใช้ PDO กับตัวยึดตำแหน่งที่มีชื่อสำหรับข้อมูลอื่น เพื่อเอาชนะการฉีด SQL ฉันกำลังกรองอาร์เรย์เพื่อยอมรับเฉพาะค่าที่เป็นจำนวนเต็มและปฏิเสธค่าอื่นทั้งหมด

$owner_id = 123;
$galleries = array(1,2,5,'abc');

$good_galleries = array_filter($chapter_arr, 'is_numeric');

$sql = "SELECT * FROM galleries WHERE owner=:OWNER_ID AND id IN ($good_galleries)";
$stmt = $dbh->prepare($sql);
$stmt->execute(array(
    "OWNER_ID" => $owner_id,
));

$data = $stmt->fetchAll(PDO::FETCH_ASSOC);

วิธีการพื้นฐานเพื่อป้องกันการฉีด SQL คือ:

• ใช้คำสั่งที่เตรียมไว้และแบบสอบถามแบบมีพารามิเตอร์
• การหลีกเลี่ยงอักขระพิเศษในตัวแปรที่ไม่ปลอดภัยของคุณ

การใช้คำสั่งที่เตรียมไว้และแบบสอบถามแบบใช้พารามิเตอร์เป็นวิธีที่ดีกว่า แต่ถ้าคุณเลือกวิธีการหลีกเลี่ยงอักขระคุณสามารถลองตัวอย่างด้านล่างได้

คุณสามารถสร้างแบบสอบถามโดยใช้array_mapเพื่อเพิ่มคำพูดเดียวกับแต่ละองค์ประกอบใน$galleries:

$galleries = array(1,2,5);

$galleries_str = implode(', ',
                     array_map(function(&$item){
                                   return "'" .mysql_real_escape_string($item) . "'";
                               }, $galleries));

$sql = "SELECT * FROM gallery WHERE id IN (" . $galleries_str . ");";

$ sql var ที่สร้างขึ้นจะเป็น:

SELECT * FROM gallery WHERE id IN ('1', '2', '5');

หมายเหตุ: mysql_real_escape_stringตามที่อธิบายไว้ในเอกสารประกอบของที่นี่ถูกเลิกใช้ใน PHP 5.5.0 และถูกลบใน PHP 7.0.0 ควรใช้ส่วนขยาย MySQLi หรือ PDO_MySQL แทน ดูเพิ่มเติมที่ MySQL: เลือกคู่มือ API และคำถามที่พบบ่อยที่เกี่ยวข้องสำหรับข้อมูลเพิ่มเติม ทางเลือกของฟังก์ชั่นนี้รวมถึง:

• mysqli_real_escape_string ()

• PDO :: อ้าง ()