动态构造WHERE子句需根据用户提交的可选参数逐步拼接条件,并使用PDO预处理语句绑定参数,防止SQL注入;2. 对输入进行验证过滤,如trim、htmlspecialchars、in_array限制枚举值,数值型参数用intval处理;3. 程序自动添加LIKE通配符,避免用户直接控制,且应明确指定查询字段而非使用select *,确保安全性与性能。
在PHP开发中,多条件筛选查询是常见需求,比如商品搜索、用户管理后台等。这类功能需要根据用户提交的多个可选条件动态构造SQL的WHERE子句,同时必须防范SQL注入攻击。以下是实现方式与安全建议。
动态构造WHERE条件
当表单提交多个可选筛选项(如用户名、状态、时间范围)时,不能写死WHERE条件,应根据实际传参动态拼接。
以用户列表筛选为例,假设支持按用户名、用户状态、注册时间筛选:
- 接收GET或POST参数
- 判断每个参数是否存在且不为空
- 逐步构建WHERE数组和绑定参数
示例代码:
立即学习“PHP免费学习笔记(深入)”;
$where = [];
$params = [];
if (!empty($_GET['username'])) {
$where[] = "username LIKE ?";
$params[] = '%' . $_GET['username'] . '%';
}
if (isset($_GET['status']) && in_array($_GET['status'], ['0','1'])) {
$where[] = "status = ?";
$params[] = $_GET['status'];
}
if (!empty($_GET['start_time'])) {
$where[] = "create_time >= ?";
$params[] = $_GET['start_time'];
}
if (!empty($_GET['end_time'])) {
$where[] = "create_time
$params[] = $_GET['end_time'];
}
$sql = "SELECT * FROM users";
if (!empty($where)) {
$sql .= " WHERE " . implode(' AND ', $where);
}
使用预处理语句防止SQL注入
直接拼接用户输入到SQL中极其危险。应始终使用预处理语句(Prepared Statements)配合参数绑定。
推荐使用PDO:
try {
$pdo = new PDO($dsn, $user, $pass);
$stmt = $pdo->prepare($sql);
$stmt->execute($params);
$results = $stmt->fetchAll();
} catch (PDOException $e) {
echo "查询出错:", $e->getMessage();
}
这样即使用户输入恶意字符如 ' OR '1'='1,也会被当作普通字符串处理,不会破坏SQL结构。
关键注意事项
- 所有用户输入都要验证和过滤,如用 trim()、htmlspecialchars() 处理显示内容
- 对数值型参数使用 is_numeric() 或 intval() 转换
- 枚举类参数(如状态)用 in_array 限制合法值
- LIKE 查询中的通配符由程序添加,不要让用户直接控制
- 避免使用 select *,明确指定字段提升安全与性能
基本上就这些。核心是动态收集条件+参数绑定,既灵活又安全。
