将条件附加到当前查询[重复]

Posted 2021-05-06

这个问题在这里已有答案：

• How to ignore a parameter in a prepared mysqli query in PHP? 1回答

例如，我们有mysqli的select查询：

$sql = "SELECT * FROM table WHERE cat = 1";

并且想要基于query将一些额外的query string附加到上面的查询，我尝试过这样的事情:(这只是示例，而不是我的原始代码）

$keyw = $_GET["k"];

if($keyw){
$cleanKeyw = mysqli_real_escape_string($connection, $keyw);

$addQ= "AND name LIKE '%$cleanKeyw%' OR text LIKE '%$cleanKeyw%'";
} else {
$addQ= "";  
}

$sql = "SELECT * FROM table WHERE cat = 1 $addQ";

不是这一个，我几乎还有10个statment想要附加到当前的query

如果设置query查询字符串，我想添加k，它可以工作，但我想确定，这样做是否安全或正确？因为它是基于我的逻辑而且我是php的新手并且不知道有技术方法可以做到这一点吗？

另外我想知道有没有办法通过prepared statments这样做？

答案

不幸的是，大多数答案都过于宽泛。没有正确或错误的方式，你已经逃脱了你的投入（这很棒）。

您可以考虑将您的wheres构建为数组，然后将它们拼接在一起。

$wheres = [];

$wheres[] = 'cat = 1';

if ($keyw) {
    // escape etc
    $wheres[] = 'name LIKE '%$cleanKeyw%' OR text LIKE '%$cleanKeyw%''
}

$wheres = implode(" AND ", $wheres);

$sql = "SELECT * FROM table WHERE $wheres";

然后你可以随着时间的推移添加更多的$wheres[]。