我的 Ajax PHP 过滤器如何不使用 PDO 过滤记录?
所以我尝试使用带有 Ajax 和 PHP 的复选框来过滤记录。我正在尝试使用 PDO 过滤记录,因为它是最安全的选择。我想知道为什么过滤系统只在选中一个复选框时才进行过滤,而不是更多。
这是我的代码:
if(isset($_POST['merk']))
{
// Pretty sure you have the following format 1,2,3,4 and not '1','2','3','4'
$merk = implode(',', $_POST['merk']);
if (preg_replace('/[^A-Za-z0-9\-]/', '', $merk)) {
// Notice that placeholders should not be quoted
$sql .= ' AND merk IN(:merk)';
}
}
if(isset($_POST['brandstof']))
{
$brandstof = implode(',', $_POST['brandstof']);
if (preg_replace('/[^A-Za-z0-9\-]/', '', $brandstof)) {
$sql .= ' AND brandstof IN(:brandstof)';
}
}
if(isset($_POST['carrosserie']))
{
$carrosserie = implode(',', $_POST['carrosserie']);
if (preg_replace('/[^A-Za-z0-9\-]/', '', $carrosserie)) {
$sql .= ' AND carrosserie IN(:carrosserie)';
}
}
如果选中 merk 复选框,该代码将执行。查询有问题吗?
//We prepare our SELECT statement.
$statement = $pdo->prepare($sql);
if(isset($_POST['merk']))
{
$statement->bindParam(":merk", $merk);
// $params[] .= $merk;
}
if(isset($_POST['brandstof']))
{
$statement->bindParam(":brandstof", $brandstof);
// $params[] .= $brandstof;
}
if(isset($_POST['carrosserie']))
{
$statement->bindParam(":carrosserie", $carrosserie);
// $params[] .= $carrosserie;
}
$statement->execute();
此代码过滤一个复选框输入,但在选择两个复选框时停止过滤。请参阅下面的示例。
所以我的 POST 数据如下所示:Array ( [0] => BMW [1] => Skoda )
1 个答案:
答案 0 :(得分:0)
您在解析输入时使用了奇怪的引号,例如 "','"。此外,您不应在语句中引用实际的占位符。
在聊天之后,我意识到问题在于 IN 子句和 bindParams() 不支持数组。
来自 PDOStatement::execute 的 documentation:
<块引用>input_parameters 一个包含尽可能多元素的值数组 正在执行的 SQL 语句中的绑定参数。所有值都是 视为 PDO::PARAM_STR。
多个值不能绑定到单个参数;例如,它 不允许将两个值绑定到单个命名参数 IN() 子句。
为了解决这个问题,您需要将代码更改为如下所示:
// Enable error reporting to spot any warnings and errors.
ini_set('display_errors', true);
error_reporting(E_ALL);
$params = array();
// Creates an IN clause with placeholders and stores parameters
function createInParam(array $data, $name, $query, array &$params) {
$query .= " AND $name IN (";
foreach ($data as $key => $value) {
$params[$name . '_' . $key] = $value;
$query .= ":${name}_${key},";
}
return rtrim($query, ',') . ')';
}
// Bind all parameters to statement
function bindParams($statement, array $params) {
foreach ($params as $key => $value) {
$statement->bindParam(":$key", $params[$key]);
}
}
if (isset($_POST['merk'])) {
$merk = implode(',', $_POST['merk']);
if (preg_replace('/[^A-Za-z0-9\-]/', '', $merk)) {
$data = explode(',', $merk);
$sql = createInParam($data, 'merk', $sql, $params);
}
}
if (isset($_POST['brandstof'])) {
$brandstof = implode(',', $_POST['brandstof']);
if (preg_replace('/[^A-Za-z0-9\-]/', '', $brandstof)) {
$data = explode(',', $brandstof);
$sql = createInParam($data, 'brandstof', $sql, $params);
}
}
if (isset($_POST['carrosserie'])) {
$carrosserie = implode(',', $_POST['carrosserie']);
if (preg_replace('/[^A-Za-z0-9\-]/', '', $carrosserie)) {
$data = explode(',', $carrosserie);
$sql = createInParam($data, 'carrosserie', $sql, $params);
}
}
// Then bind all parameters and execute
bindParams($statement, $params);
if ($statement->execute()) {
// Success
}
做同样事情的另一种方式是:
$params = array();
if (isset($_POST['merk'])) {
$merk = implode(',', $_POST['merk']);
if (preg_replace('/[^A-Za-z0-9\-]/', '', $merk)) {
$inClause = implode(',', array_fill(0, count($_POST['merk']), '?'));
$sql .= " AND merk IN ($inClause)";
$params = array_merge($params, explode(',', $merk));
}
}
if (isset($_POST['brandstof'])) {
$brandstof = implode(',', $_POST['brandstof']);
if (preg_replace('/[^A-Za-z0-9\-]/', '', $brandstof)) {
$inClause = implode(',', array_fill(0, count($_POST['brandstof']), '?'));
$sql .= " AND brandstof IN ($inClause)";
$params = array_merge($params, explode(',', $brandstof));
}
}
if (isset($_POST['carrosserie'])) {
$carrosserie = implode(',', $_POST['carrosserie']);
if (preg_replace('/[^A-Za-z0-9\-]/', '', $carrosserie)) {
$inClause = implode(',', array_fill(0, count($_POST['carrosserie']), '?'));
$sql .= " AND carrosserie IN ($inClause)";
$params = array_merge($params, explode(',', $carrosserie));
}
}
if ($statement->execute($params)) {
// Success
}
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?