是否有更好的方法来生成条件sql而不是附加sql字符串?

时间:2013-09-12 16:36:32

标签: php mysql sql

我在网站上有一个可以过滤和显示任务的ajax搜索功能。我可能希望看到我的任务和其他任务,或者仅仅是我的任务,或者只是其他任务。

我将sql字符串附加在ajax请求传递的参数上。

在服务器端,它看起来像这样https://stackoverflow.com/a/17333371/89211(但显然有适当的卫生处理。)

是否有更好的方法来实现链接答案中显示的相同目的?我在这里简化了这个场景。有许多过滤器可以任意组合使用。我无法想象当使用具有大量选项的搜索和过滤功能时,这就是创建sql的方式。

1 个答案:

答案 0 :(得分:0)

为了避免SQL注入攻击并保持可读性,您应该使用参数绑定。

http://php.net/manual/en/mysqli-stmt.bind-param.php