带有几个可选搜索词的参数化查询

Question

我有一个包含大量数据的 Web 应用程序，以及一个包含多个字段（例如名称、状态、日期等）的搜索/过滤功能。我一直在对常规（非搜索）查询使用这样的参数化查询：

$id = $_POST['itemID'];
$db = mysqli_connect($host, $username, $password, $database);
$sql_query = "SELECT * FROM tbl_data WHERE ID = ?";
$stmt_query = mysqli_prepare($db, $sql_query);
mysqli_stmt_bind_params($stmt_query, "i", $id);
mysqli_stmt_execute($stmt_query);

//and so on..

如何使用多个可选参数防止 SQL 注入？最多可以设置 10 个单独的参数，可以设置也可以不设置。

在问题似乎不清楚时进行编辑：

我的示例是一个参数，它不是可选的。我知道这可以防止 sql 注入。我将如何使用 10 个参数来执行此操作，其中一个或多个可以同时设置？例如。像这样的查询：

SELECT * FROM tbl_data 
WHERE NAME = ? 
AND STATUS = ? 
AND DATE = ? 
AND PARAM4 = ? 
AND PARAM5 = ?

用户只想搜索姓名和日期。我将如何进行绑定？检查 100 种可能的搜索词组合中的每一种并不是一个好主意。

Answer 1

您已经受到 sql 注入的保护，因为您正在使用 mysqli_stmt_bind_params，它会为您正确转义。

编辑。 你可以切换到一些数据库框架来获得干净漂亮的代码。

否则...这是非常古老的意大利面条风格...但我喜欢它：D

扩展代码以使用未知数量的参数非常容易。您应该只循环您的参数，同时 1. 使用问号符号构建您的查询字符串，并将您的参数添加到一个数组中，您将传递给 maxdb_stmt_bind_param （资源 $stmt ，字符串 $types ，数组 & $var)。

所以它看起来像这样。它假设至少有一个参数（但避免这种情况很简单）。

$sql = "SELECT * FROM tbl_data WHERE ";
$and = '';
$types = '';
$parameters = array();
foreach($_POST as $k => $v) {
  // check that $k is on your whitelist, if not, skip to the next item
  $sql .= "$and $k = ?";
  $and = " AND ";
  $parameters[] = $v;
  $types .= 's';
}
$stmt_query = mysqli_prepare($db, $sql);
mysqli_stmt_bind_params($stmt_query, $types, $parameters);

Answer 2

我建议切换到 PDO。它像 mysqli 扩展一样内置在 PHP 中，但语法更简洁，允许您将参数值作为数组传递，您可以轻松地根据需要使用任意数量的元素动态构造。