如何在select語句和where子句中包含（用戶選擇 - 動態）列？

Question

我希望用戶選擇他們希望看到哪些字段以及他們不想看到的字段。

表：公司（CID，CNAME，州，project_manager，site_supervisor，elec_engg，mech_engg，液壓，.....）

注：所有的project_manager到最後一列列有值「是/ No'

可以說用戶想要找到在新州有項目經理和電氣工程師的公司。

查詢將是：

Select cid, cname, project_manager, elec_engg 
from companies 
where state='NSW' 
    AND project_manager='Yes' 
    AND elec_engg ='Yes'; 

我不知道我怎樣才能使這個搜索動態。在HTML表單中顯示所有工作職位，並在每個職位旁邊和搜索按鈕旁邊都有複選框。像下面的東西。

查詢：

select cid, cname, (dynamic user input of columns) 
from companies 
where state="NSW" 
    AND Dynamic input column1 ='Yes' 
    and Dynamic input column2 ='Yes' 
    AND Dynamic input column3 ='Yes'..... 
    AND Dynamic input columnn ='Yes'; 

Answer 1

我假設你只是把所有的參數和在一起。如果您可以爲每個HTML設置名稱，則表單中的元素與您期望的列名稱完全一致。當你回到帖子時（假設搜索提交表單作爲帖子），你可以遍歷帖子值。我會創建一個有效列的數組來檢查作爲白名單，以避免有一個破碎的查詢。

下面是一個使用oldschool mysql轉義的例子，或者您可以獲得這個想法，但是我真的會使用PDO和預處理語句來填充查詢的值。關鍵是在動態創建SQL時保護您的where參數和值。拍我的消息，如果你正在使用PDO，並希望看到，但是這會給你一個地方開始：

$sql = 'SELECT cid, cname, project_manager, elec_engg FROM companies '; 
$whereClause = null; 

//whitelist of valid where clause parameters 
$validParams = array('site_supervisor', 'elec_engg', 'mech_engg', 'hydraulics'); 

foreach($_POST as $key=>$value){ 
    if(array_search($key, $validParams)!==false){ //make sure you use !== and not != 
     if(empty($whereClause)){ 
      $whereClause = " WHERE "; 
     }else{ 
      $whereClause .= " AND "; 
     } 

     //IMPORTANT: use whatever you're db needs to escape things or use prepare 
     //statement replacement 
     $whereClause .= "$key='".mysql_escape_string($value)."' "; 
    } 
} 
$sql = $sql.$whereClause; 
echo $sql; 

您還可以添加一個循環檢查的僅僅是「是」的價值觀和排除'不''值...

正如下面的評論mysql_escape_string（$ value）是壞的...毫無疑問，要做到這一點正確和安全地與準備好的陳述和pdo你會改變代碼：

$ sql ='選擇cid，cname，project_manager，elec_engg從公司'; $ whereClause = null;

//whitelist of valid where clause parameters 
$validParams = array('site_supervisor', 'elec_engg', 'mech_engg', 'hydraulics'); 

foreach($_POST as $key=>$value){ 
    if(array_search($key, $validParams)!==false){ //make sure you use !== and not != 
     if(empty($whereClause)){ 
      $whereClause = " WHERE "; 
     }else{ 
      $whereClause .= " AND "; 
     } 

     //IMPORTANT: use whatever you're db needs to escape things or use prepare 
     //statement replacement 
     $whereClause .= " $key=:$key "; 
    } 
} 
$sql = $sql.$whereClause; 
$db = new PDO($someDsnString); 
$statement = $db->prepare($sql); 

foreach($_POST as $key=>$value){ 
    if(array_search($key, $validParams)!==false){ //make sure you use !== and not != 
    $statement->bindValue(":$key", $_POST[$key]); 
    } 
}  
$statement->execute(); 
$result = $statement->fetchAll(); 

對參數值的值和白名單上的預處理語句都將使此查詢安全。

Answer 2

只是把每個字段的結果轉換成字符串，所以像

$builderworks = $POST_['builderworks']; 
$hydrolics = $POST_['hydrolics']; 

然後只需使用的所有字符串值數據庫中選擇，只要確保你首先使用mysql_real_escape_string清理POST數據。

所以像

SELECT jobname FROM jobtable WHERE hydrolics='$hydrolics' AND $builderworks='$builderworks' 

ECT ECT

所以基本上$ builderworks等被任何在這一領域已經發布，它是存儲每次裏面有人提出，如果FO的例子，我去了形式，選擇字段builderworks是，$ builderworks然後會等於是當我點擊提交時，無論存儲在每個字符串中，然後使用數據庫查詢進行比較，那麼如果$ builderworks在其中有yes，選擇所有等於$ builderworks會選擇等於yes的所有字段，如果我在表單中選擇no，則等於no。

Answer 3

不這樣做你的數據庫層上。對於安全性，穩定性和可維護性來說，這是一個非常糟糕的主意。分開你的顧慮。您的數據訪問層不應該依賴於您的用戶的權限，並且絕對不應該依賴於您的視圖。

從數據庫中提取數據象通常那樣（成「模型」或一些其它結構），然後選擇性地根據需要（「查看」）在你的渲染層表明結構的數據。