通過HTML實現MySQL過濾選擇

Question

我試圖使用選擇列表來主動篩選從我的SQL數據庫中獲得的結果。例如，如果我從我的選擇列表中選擇「Yankees」，我希望我的SQL查詢僅顯示Yankee球員。

編輯：通過「實時過濾」我的意思是，當用戶選擇揚基隊，費城人，或播音員時，選擇列表將只顯示該類別下的名稱。

這是我選擇的代碼。

<select name="ident" id="ident"> 
    <option value="yankees">Yankees</option> 
    <option value="phillies">Phillies</option> 
    <option value="announcer">Announcer</option> 
</select> 

這是如下（數據庫連接後）的代碼：while語句的作品來填充我的第二個選擇列表（名稱）如果我手動放在名字

<?php 
    $ident = $_POST['ident']; 
    $query = @mysql_query('SELECT name, id FROM grade ORDER BY name asc WHERE ident="' . $ident . '"'); 
    echo "<select name='name'>"; 
    while ($temp = mysql_fetch_assoc($query)) { 
     echo "<option>".htmlspecialchars($temp['name'])."</option>"; 
    } 
     echo "</select>"; 
?> 

我知道，但我不確定我是否可以正確地對列表進行實時過濾。

在此先感謝。

Answer 1

不，你做得不對。首先，有一個安全漏洞。您的代碼容易受到SQL注入的攻擊。其次，你的SQL查詢是錯誤的。 ORDER BY應該在WHERE條款後出現。

下面是做到這一點的安全和正確的方法：

<?php 
$ident = mysql_real_escape_string($_POST['ident']); 
$query = @mysql_query("SELECT name, id FROM grade WHERE ident = '$ident' ORDER BY name ASC"); 
echo "<select name='name'>"; 

while ($temp = mysql_fetch_assoc($query)) { 
    echo "<option>".htmlspecialchars($temp['name'])."</option>"; 
} 

echo "</select>"; 
?> 

Answer 2

我不確定您的意思是「實時過濾」。像谷歌在他們的搜索（這被稱爲「谷歌建議」）實施？

在這種情況下，您將使用JavaScript與jQuery庫來更新您的列表。

另外，當您測試某些內容時，您不應該使用@，因爲它會抑制錯誤消息（如果有），並且您不知道錯在哪裏。如果您不希望高效的服務器向用戶提供錯誤消息，則可以使用php.ini文件中的選項來禁用該選項。

最後但並非最不重要的，我會建議你使用PreparedStatement，使防止您的代碼形式的SQL注射（這個遊樂您使用的庫MySQLi類）：

1. 創建PrearedStatement與 prepare()-方法。
2. Bind您的參數
3. Execute聲明
4. Bind結果
5. Fetch他們。

關於此的示例代碼可以在鏈接的PHPDoc-Samples中找到。