≡ 分类 ≡
≡ 推荐 ≡
- PHP Token 认证机制实现
- PHP PDO预处理条件查询
- JavaScript 默认值设置方法
- Promise 的基本使用方法
- 完整支持TRUNCATE TABLE和其他SQL语句的导入方案
- Jquery+ajax返回的数据类型为script,且含有多个变量
- PHP类使用详解
- jQuery AJAX success 回调中的返回值处理
- PHP解压缩Gzip文件方法总结
- JavaScript Promise 用法详解
- PHP PDO 导出指定表数据(导入前清空表)
- PHP 中使用 try-catch 捕获错误信息
- JavaScript数组求平均值方法总结
- MySQL 5.7 忘记 root 密码解决方法
- HTML 图片异步加载
- 根据某数组,在另一个数组中检索并输出对应值
≡ 热点 ≡
- 用Javascript为图片img添加onclick事件
- 图解Windows Installer制作软件安装包
- 轻型数据库SQLite结合PHP的研发
- 在没有MySQL支持的虚拟主机,在PHP中使用文本数据库
- PHP之glob函数
- DIY服务器硬盘RAID选用
- PHP代码优化及PHP相关问题总结
- Windows操作系统发展历史二
- 用PHP函数解决SQL injection
- ISP如何在网内部署BGP路由协议
- Div+CSS:absolute与relative
- Photoshop CS3:为美女刷出亮白牙齿
- PHP CURL 发送和接收XML数据
- 采集cz88.net免费代理的小程序
- Fireworks打造热力四射手机广告
- 记录搜索蜘蛛爬行记录的Asp代码
PHP PDO预处理条件查询
作者:未知, 来源:网络, 阅读:68, 发布时间:2025-05-31
使用 PDO 预处理语句进行多条件查询可以有效防止 SQL 注入,同时保持代码的清晰性和安全性。
基础方法:使用命名参数
$pdo = new PDO("mysql:host=localhost;dbname=test", "username", "password");
$name = 'John';
$age = 25;
$status = 'active';
$sql = "SELECT * FROM users WHERE name = :name AND age > :age AND status = :status";
$stmt = $pdo->prepare($sql);
$stmt->bindParam(':name', $name, PDO::PARAM_STR);
$stmt->bindParam(':age', $age, PDO::PARAM_INT);
$stmt->bindParam(':status', $status, PDO::PARAM_STR);
$stmt->execute();
$results = $stmt->fetchAll(PDO::FETCH_ASSOC);
简化方法:使用 execute() 传递参数数组
$conditions = [
'name' => 'John',
'age' => 25,
'status' => 'active'
];
$sql = "SELECT * FROM users WHERE name = :name AND age > :age AND status = :status";
$stmt = $pdo->prepare($sql);
$stmt->execute($conditions);
$results = $stmt->fetchAll(PDO::FETCH_ASSOC);
动态构建多条件查询
$conditions = [];
$params = [];
// 根据用户输入动态添加条件
if (!empty($_GET['name'])) {
$conditions[] = "name LIKE :name";
$params[':name'] = '%' . $_GET['name'] . '%';
}
if (!empty($_GET['min_age'])) {
$conditions[] = "age >= :min_age";
$params[':min_age'] = $_GET['min_age'];
}
if (!empty($_GET['status'])) {
$conditions[] = "status = :status";
$params[':status'] = $_GET['status'];
}
$sql = "SELECT * FROM users";
if (!empty($conditions)) {
$sql .= " WHERE " . implode(" AND ", $conditions);
}
$stmt = $pdo->prepare($sql);
$stmt->execute($params);
$results = $stmt->fetchAll(PDO::FETCH_ASSOC);
使用问号占位符
$name = 'John';
$age = 25;
$sql = "SELECT * FROM users WHERE name = ? AND age > ?";
$stmt = $pdo->prepare($sql);
$stmt->execute([$name, $age]);
$results = $stmt->fetchAll(PDO::FETCH_ASSOC);
处理 IN 条件
$ids = [1, 3, 5, 7];
$placeholders = rtrim(str_repeat('?,', count($ids)), ',');
$sql = "SELECT * FROM products WHERE id IN ($placeholders)";
$stmt = $pdo->prepare($sql);
$stmt->execute($ids);
$results = $stmt->fetchAll(PDO::FETCH_ASSOC);
总结
-
始终使用预处理语句防止 SQL 注入
-
对于动态查询,确保正确处理条件连接(AND/OR)
-
使用
bindValue()而不是bindParam()除非你需要引用传递 -
考虑使用 PDO 的
setAttribute(PDO::ATTR_EMULATE_PREPARES, false)以获得真正的预处理语句
实例:
try {
$pdo = new PDO("mysql:host=localhost;dbname=test", "username", "password");
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// 收集查询参数
$searchParams = [
'name' => $_GET['name'] ?? null,
'min_age' => $_GET['min_age'] ?? null,
'max_age' => $_GET['max_age'] ?? null,
'status' => $_GET['status'] ?? 'active'
];
// 构建查询
$conditions = [];
$params = [];
if (!empty($searchParams['name'])) {
$conditions[] = "name LIKE :name";
$params[':name'] = '%' . $searchParams['name'] . '%';
}
if (!empty($searchParams['min_age'])) {
$conditions[] = "age >= :min_age";
$params[':min_age'] = $searchParams['min_age'];
}
if (!empty($searchParams['max_age'])) {
$conditions[] = "age <= :max_age";
$params[':max_age'] = $searchParams['max_age'];
}
$conditions[] = "status = :status";
$params[':status'] = $searchParams['status'];
$sql = "SELECT * FROM users";
if (!empty($conditions)) {
$sql .= " WHERE " . implode(" AND ", $conditions);
}
$stmt = $pdo->prepare($sql);
$stmt->execute($params);
$users = $stmt->fetchAll(PDO::FETCH_ASSOC);
foreach ($users as $user) {
// 处理结果
}
} catch (PDOException $e) {
error_log("Database error: " . $e->getMessage());
// 适当的错误处理
}以下是用户评论查看全部评论