CakePHP在select *语句中跳过字段

时间:2013-06-13 03:04:17

标签: php mysql cakephp

首先,我只想说我明白不使用CakePHP的内置功能来查找数据可能会导致漏洞。但是,绝对没有用户可以选择的查询输入。它是预先确定和配置的,所以没有什么可注入的。另外,我正在进行一个联合选择,我找不到这种情况的简单解决方案。

我有以下表格(从PHPmyadmin导出)

 CREATE TABLE `orders` (
  `id` int(10) NOT NULL auto_increment,
  `userid` int(10) default NULL,
  `order_status` varchar(12) NOT NULL default 'Not Filled',
  `email` varchar(50) NOT NULL,
  `total` varchar(50) NOT NULL,
  `fullName` varchar(60) NOT NULL,
  `address` varchar(50) NOT NULL,
  `city` varchar(50) NOT NULL,
  `state` varchar(50) NOT NULL,
  `zip` varchar(15) NOT NULL,
  `created` datetime default NULL,
  `modified` datetime default NULL,
  PRIMARY KEY  (`id`)
) ENGINE=MyISAM  DEFAULT CHARSET=latin1 AUTO_INCREMENT=5 ;


 CREATE TABLE `order_items` (
  `id` int(20) NOT NULL auto_increment,
  `orderid` int(10) default NULL,
  `userid` int(10) default NULL,
  `item_number` varchar(200) default NULL,
  `itemName` varchar(200) NOT NULL,
  `price` varchar(10) default NULL,
  `quantity` int(10) default NULL,
  `total` varchar(10) default NULL,
  `item_status` varchar(20) NOT NULL,
  `created` datetime default NULL,
  `modified` datetime default NULL,
  PRIMARY KEY  (`id`),
  KEY `orderid` (`orderid`)
) ENGINE=MyISAM  DEFAULT CHARSET=utf8 AUTO_INCREMENT=7 ;

由于我有不同的字段数,因此选择*并为两个表选择union。这是我的查询(使用$ this-> model-> query())

select  orders.id, orders.userid, orders.order_status, orders.email, orders.total, orders.fullName, orders.Address, orders.city, orders.state, orders.zip, orders.created from orders where userid = '$id' and order_status = 'filled'
UNION
select * from order_items where userid = '$id' and item_status = 'filled'"

这导致order_items.orderid未被选中,因此我尝试单独选择字段

select  orders.id, orders.userid, orders.order_status, orders.email, orders.total, orders.fullName, orders.Address, orders.city, orders.state, orders.zip, orders.created from orders where userid = '$id' and order_status = 'filled'
UNION
select order_items.id, order_items.orderid, order_items.userid, order_items.item_number, order_items.itemName, order_items.price, order_items.quantity, order_items.total, order_items.item_status, order_items.created, order_items.modified where userid = '$id' and item_status = 'filled'"

为order_items.orderid选择之外的所有内容。当我在PHPmyadmin中运行查询时,它选择了order_items.orderid,所以我几乎肯定它是CakePHP的东西。

我甚至尝试将orderid更改为order_id,但仍然跳过它

1 个答案:

答案 0 :(得分:1)

没有理由编写自己的查询。

使用作为核心一部分的Containable行为可以轻松解决此问题。

我将假设OrderOrderItem是您的模型并且是相关的。 Order有多个OrderItem

// Model/Order.php
public $actsAs = array('Containable'); // Attach containable to your model

// Controller/OrdersController.php
public function view($id) {
  $orders = $this->Order->find('all', array(
    'conditions' => array(
      'Order.id' => $id
    ),
    'contain' => array(
      'OrderItem'
    )
  ));
  debug($orders);
}
相关问题
最新问题