Mysql
 sql >> Datenbank >  >> RDS >> Mysql

Wie schreibe ich eine sichere SELECT-Abfrage, die eine variable Anzahl von Benutzerwerten mit mysqli hat?

Die Aufgabe, die Sie ausführen sollen, ist eine vorbereitete Anweisung mit einer variablen Anzahl von Platzhaltern. Dies ist in PDO einfacher, aber ich zeige Ihnen den objektorientierten Ansatz von mysqli. Geben Sie auf jeden Fall immer ein json-codiertes Array aus, damit Ihr empfangendes Skript weiß, welche Art von Datentyp zu erwarten ist.

Ich hatte ein Snippet herumliegen, das eine ganze Reihe von Diagnose- und Fehlerprüfungen enthält. Ich habe dieses Skript nicht getestet, aber es hat ziemlich viel Ähnlichkeit mit diesem Post von mir .

if (empty($_POST['companyname']) || empty($_POST['username'])) {  // perform any validations here before doing any other processing
    exit(json_encode([]));
}

$config = ['localhost', 'root', '', 'dbname'];  // your connection credentials or use an include file
$values = array_merge([$_POST['companyname']], explode(',', $_POST['username']));  // create 1-dim array of dynamic length
$count = sizeof($values);
$placeholders = implode(',', array_fill(0, $count - 1, '?'));  // -1 because companyname placeholder is manually written into query
$param_types = str_repeat('s', $count);
if (!$conn = new mysqli(...$config)) {
    exit(json_encode("MySQL Connection Error: <b>Check config values</b>"));  // $conn->connect_error
}
if (!$stmt = $conn->prepare("SELECT user_scid, user_scid FROM linked_user WHERE company_name = ? AND username IN ({$placeholders})")) {
    exit(json_encode("MySQL Query Syntax Error: <b>Failed to prepare query</b>"));  // $conn->error
}
if (!$stmt->bind_param($param_types, ...$values)) {
    exit(json_encode("MySQL Query Syntax Error: <b>Failed to bind placeholders and data</b>"));  // $stmt->error;
}
if (!$stmt->execute()) {
    exit(json_encode("MySQL Query Syntax Error: <b>Execution of prepared statement failed.</b>"));  // $stmt->error;
}
if (!$result = $stmt->get_result()) {
    exit(json_encode("MySQL Query Syntax Error: <b>Get Result failed.</b>")); // $stmt->error;
}
exit(json_encode($result->fetch_all(MYSQLI_ASSOC)));

Wenn Sie das Aufblähen all dieser diagnostischen Bedingungen und Kommentare nicht möchten, finden Sie hier das bloße Äquivalent, das identisch funktionieren sollte:

if (empty($_POST['companyname']) || empty($_POST['username'])) {
    exit(json_encode([]));
}

$values = explode(',', $_POST['username']);
$values[] = $_POST['companyname'];
$count = count($values);
$placeholders = implode(',', array_fill(0, $count - 1, '?'));
$param_types = str_repeat('s', $count);

$conn = new mysqli('localhost', 'root', '', 'dbname');
$stmt = $conn->prepare("SELECT user_scid, user_scid FROM linked_user WHERE username IN ({$placeholders}) AND company_name = ?");
$stmt->bind_param($param_types, ...$values);
$stmt->execute();
$result = $stmt->get_result();
exit(json_encode($result->fetch_all(MYSQLI_ASSOC)));