安全地将数组转换为 SQL 查询（PHP7+PDO+SQLite）答案

【问题标题】：Convert array into a SQL query securely (PHP7+PDO+SQLite)安全地将数组转换为 SQL 查询（PHP7+PDO+SQLite）
【发布时间】：2020-09-22 13:22:14
【问题描述】：

使用 PHP7+PDO+SQLite，我正在寻找一种方法来过滤表中的条目，该过滤器使用前端生成的数组形式的用户定义过滤器。为清楚起见，这是我正在寻找的示例：

示例：

数据库中的表：

 ID             Firstname      Lastname       Age
+--------------+--------------+--------------+-------------+
| 0            | John         | Doe          | 21          |
| 1            | John         | Smith        | 35          |
| 2            | Alice        | Smith        | 35          |
| 3            | Bob          | Smith        | 40          |
+--------------+--------------+--------------+-------------+

过滤器：

/*
Filters follow the structure:
[
    "Table Column Name 1" => [Match1 OR Match2 OR ...],
    AND
    "TCN 2" ...
]
Any column name not provided should match any value.
*/

[
    "Firstname" => ["John"]
]
// ^ fetchAll() returns rows with ID 0 and 1

[
    "Firstname" => ["John", "Alice"],
    "Lastname" => ["Smith"]
]
// ^ ID 1 and 2 (but not 3)

我需要找到一个可以将上面的数组转换为 SQL 查询的函数，以获取与过滤器匹配的所有行。出于性能原因，我想使用 SQL（我没有太多经验）而不是获取所有行并使用 PHP 过滤它们。

我知道我可以按照以下方式做一些事情：

// Untested - for illustration purposes only

$filter = [
    "Firstname" => ["John", "Alice"],
    "Lastname" => ["Smith"]
];

$sql = "SELECT * FROM table_name WHERE ";

foreach ($filter as $column => $matching_values) {

    foreach ($matching_values as $match) {

        $sql .= $column . " == " . $match . " OR ";

    }

    // Ugly way of removing trailing ` OR `
    $sql = substr($sql, 0, -4);

    $sql .= " AND ";

}
// Ugly way of removing trailing ` AND `
$sql = substr($sql, 0, -5);

echo $sql;

但这会引入大量 SQL 注入安全漏洞。我想知道是否有一种简单而有效且安全的方法来实现这一目标。如果需要，还可以更改过滤器的格式，例如更改为 RegEx（如果有人可以将上面示例中最里面的数组替换为 RegEx，则可以加分）。

另外（或另外），以可搜索的方式描述我的问题的简单方法可能会有所帮助，因为我无法对此进行太多研究，因为我不能很好地用词。

【问题讨论】：

您在使用 PDO 和准备好的语句方面的功课如何？请在帖子中添加您尝试过的内容、使用 PDO 以及问题所在。至于你数组中的数据，这里没有高端功能，只是基本的数组操作。
您可能会发现使用WHERE ... IN 而不是为每列的可能值拼出一百个 OR 会很方便。如WHERE Firstname IN ('John', 'Alice') 等sqlitetutorial.net/sqlite-in
@MarkusAO 其实，这不是一个作业，而是一个项目。这是链接：github.com/TR-SLimey/wraith。专门针对 indev 分支。我相信你把我误认为是你的一个学生？ :)

标签： php sqlite pdo

【解决方案1】：

这将是我已经在我的网站上教授的几种技术的有趣组合，即

最终会是这样的

$allowed = ["Firstname", "Lastname"];

$conditions = [];
$parameters = [];
foreach ($filter as $key => $values) {
    if (array_search($key, $allowed, true) === false) { 
        throw new InvalidArgumentException("invalid field name!"); 
    }
    $conditions[] = "`$key` in (".str_repeat('?,', count($values) - 1) . '?'.")";
    $parameters = array_merge($parameters, $values);
}
$sql = "SELECT * FROM table_name ";
if ($conditions)
{
    $sql .= " WHERE ".implode(" AND ", $conditions);
}

会产生一个你正在寻找的查询，

SELECT * FROM table_name WHERE WHERE `Firstname` in (?,?) AND `Lastname` in (?)

以及要在PDO::execute() 中使用的值数组，这是一个防弹解决方案，其中值通过参数保护，文件名通过过滤白名单来保护

我唯一的疑问是问题中的案例可能过于简单化了。一旦您不仅需要精确匹配，还需要部分匹配或更大/更少的比较，代码的复杂性就会飙升。

【讨论】：

感谢您的回答。我目前无法测试它，但我会尽快接受它:-)
不是我想打勾，而是you can, actually
感谢您的链接，但我无法测试它，因为我要打个电话，而不是因为我没有测试环境：PI 现在将对其进行测试并回复您 :) 另外，我想知道 SQLite 是否支持 RegExes？因此，例如，我可以指定 RegEx 而不是允许的选项？我可以自己将其添加到函数中，但也许您可以提供一些提示？
除上述之外，这似乎正是我正在寻找的。谢谢！接受的答案。
老实说，我根本看不出支持 SQLite 的 RegEx 对此有何帮助。访问任何 SQLite 功能意味着查询已经执行。包含所有想要或不需要的内容。