具有1个以上IN函数的安全pdo mysql语句

时间:2019-02-21 20:05:33

标签: php mysql pdo

您好,我的程序员同伴们,我目前正在尝试创建一个社交网站,并且在选择内容供用户查看和滚动的部分上有些停留。

让我们说他们有朋友和关注者,而我想以一种安全的方式从他们的朋友和关注者中选择数据库中的内容。我目前的假设是我可能会使用这样的代码。

        $select = "SELECT * FROM tableName WHERE FollowedPersonsID IN (1,2) OR FriendsID IN (9,8)";

    $arrayForSecurity = array( array(1,2), array(9,8) );
              try
                      {
                          // These statements run the query against your database table.
                        $result = $pdo->query($select);
                        $statement = $pdo->prepare("SELECT * FROM tableName WHERE FollowedPersonsID IN (?) OR FriendsID IN (?)");
                        $statement->execute($arrayForSecurity);
                        $content = $statement->fetchAll(PDO::FETCH_ASSOC);

                      }
                      catch(PDOException $e)
                      {
                          // Note: On a production website, you should not output $ex->getMessage().
                          // It may provide an attacker with helpful information about your code.
                          die("Failed to run query: " . $e->getMessage() . "<br><br>" . "$select");
                      }

foreach ($content as $key => $value) {
   HTMLContentFunction($value);
}

在这里您可以看到我有2个IN()函数,而且它们都需要是php数组,因为你们将能够想象人们关注的人数会因人而异。

如何在函数中使用2创建安全的sql语句?

1 个答案:

答案 0 :(得分:1)

您需要为数组的每个成员生成一个占位符,然后还将数组和所有参数组合并展平在正确的位置。例如:

// props to https://stackoverflow.com/a/1320156/1064767
function array_flatten(array $array) {
    $return = [];
    array_walk_recursive($array, function($a) use (&$return) { $return[] = $a; });
    return $return;
}

$arr1 = [1,2,3];
$arr2 = [4,5];

$ph1 = implode(',', array_fill(0, count($arr1), '?'));
$ph2 = implode(',', array_fill(0, count($arr2), '?'));

$query = "SELECT * FROM foo WHERE a = ? AND ( b IN ($ph1) OR c IN ($ph2) ) AND d = ?";

$params = array_flatten([0, $arr1, $arr2, 6]);

var_dump($query, $params);

输出:

string(74) "SELECT * FROM foo WHERE a = ? AND ( b IN (?,?,?) OR c IN (?,?) ) AND d = ?"
array(7) {
  [0]=>
  int(0)
  [1]=>
  int(1)
  [2]=>
  int(2)
  [3]=>
  int(3)
  [4]=>
  int(4)
  [5]=>
  int(5)
  [6]=>
  int(6)
}

作为一般警告,请注意不要让您的IN()子句过大[ballpark:100或更多],因为这可能会导致性能问题。基本上,它们只是大量OR子句的简化语法。