如何刪除在MySQL的PHP​​中使用IN操作符的所有行

Question

我在理解下面這個程序的行爲有問題，很簡單的代碼中使用IN操作符刪除的電子郵件地址

$emails = $_POST['ids']; 
    $sql = "DELETE FROM newsletter where email "; 
    $condition = sprintf('IN ("%s")',implode(' "," ',$_POST['ids'])); 
    $sql = $sql.$condition; 
    include '../includes/db.php'; 
    $r = mysql_query($sql); 

    echo $sql; 

只刪除一個電子郵件ID並返回true。我怎樣才能讓它運行在刪除所有電子郵件的方式。

下面是使用上述代碼構建的查詢。

DELETE FROM通訊，其中電子郵件IN（ 「adfadsf@gmail.com」， 「 asdfasfasf@gmail.com」， 「kjhkhsd@assdfsdf.sdfsf」， 「shit@gshit.com」，」 某些其它@ gmail.com「）

它是否是錯誤的刪除方式？

Answer 1

相反的：

$condition = sprintf('IN ("%s")',implode(' "," ',$_POST['ids'])); 

做：

$condition = sprintf('IN ("%s")',implode('", "',$_POST['ids'])); 

IN操作符匹配字段的內容與準確的值。值的開始和結束處的空格可能會導致您的問題。

Answer 2

查詢是有效的，但是您要在電子郵件前後添加空格。

「asdfasfasf@gmail.com」 不匹配 「asdfasfasf@gmail.com」

Answer 3

此代碼將很容易受到SQL注入式攻擊，我可以使後像

"); delete from newsletter; delete from newsletter where email in (" 

的「但是，除了你的代碼的關鍵問題是可能的空間（你的字符串包括數據庫中的空格嗎？）和雙引號的使用。我是我的後期字符串的一部分，這將擦你的時事通訊表。

我不是100％肯定的，但我確定「可以用作字段指示符而不是字符串，因此您可能需要單引號。然後

$emails = $_POST['ids']; 
$sql = "DELETE FROM newsletter where email "; 
$condition = sprintf("IN ('%s')",implode("','",$_POST['ids'])); 
$sql = $sql.$condition; 
include '../includes/db.php'; 
$r = mysql_query($sql); 
echo $sql; 

輸出應該是

DELETE FROM newsletter where email IN ('adfadsf@gmail.com','asdfasfasf@gmail.com','kjhkhsd@assdfsdf.sdfsf','shit@gshit.com','someother@gmail.com') 

Answer 4

如果你需要在你的SQL查詢字符串插入單引號他們，防止SQL注入。此外，應引用IN子句中的逗號分隔符而不是。

$safe_emails = array(); 
foreach($_POST['ids'] as $i){ 
    $safe_emails[] = "'" . mysql_real_escape_string($i) . "'"; 
} 
$sql = 'DELETE FROM newsletter WHERE email IN (' . implode(', ', $safe_emails) . ')';