实现多条件模糊搜索分页需动态拼接SQL条件并使用预处理防止注入,1. 通过数组收集LIKE查询条件并绑定参数;2. 用filter_var校验page和limit为正整数并设上限;3. 先查总数计算总页数,再执行分页查询;4. 前端传参后端须重校验,敏感字段用白名单,避免信任用户输入。
在PHP开发中,实现多条件模糊搜索分页是一个常见需求,比如后台管理系统中的用户查询、订单筛选等。为了保证功能完整性和系统安全性,需要合理拼接SQL查询条件,并对分页参数进行安全过滤。以下是具体实现方式。
1. 多条件模糊搜索的SQL拼接
使用LIKE进行模糊匹配时,应根据前端传入的多个可选条件动态构建WHERE子句。避免直接拼接用户输入,防止SQL注入。
示例代码:
$where = []; $params = [];if (!empty($_GET['username'])) { $where[] = "username LIKE ?"; $params[] = '%' . $_GET['username'] . '%'; }
if (!empty($_GET['email'])) { $where[] = "email LIKE ?"; $params[] = '%' . $_GET['email'] . '%'; }
if (!empty($_GET['status']) && in_array($_GET['status'], ['active', 'inactive'])) { $where[] = "status = ?"; $params[] = $_GET['status']; }
$sql = "SELECT * FROM users"; if (!empty($where)) { $sql .= " WHERE " . implode(' AND ', $where); }
这种方式通过数组收集条件和参数,配合预处理语句使用,既灵活又安全。
立即学习“PHP免费学习笔记(深入)”;
2. 分页参数的安全处理
分页涉及page和limit两个关键参数,必须强制校验为正整数,防止SQL注入或异常请求。
建议做法:
- 使用filter_var函数过滤参数
- 设置默认值,避免空参导致错误
- 限制每页最大记录数,防刷
$page = isset($_GET['page']) ? (int)$_GET['page'] : 1; $limit = isset($_GET['per_page']) ? (int)$_GET['per_page'] : 10;// 防止负数或过大 $page = $page < 1 ? 1 : $page; $limit = $limit < 1 || $limit > 100 ? 20 : $limit;
$offset = ($page - 1) * $limit;
3. 完整查询与分页执行
结合PDO预处理执行最终SQL,先查总数用于计算总页数,再查分页数据。
// 总数查询
$total_sql = "SELECT COUNT(*) FROM users";
if (!empty($where)) {
$total_sql .= " WHERE " . implode(' AND ', $where);
}
$stmt = $pdo->prepare($total_sql);
$stmt->execute($params);
$total = $stmt->fetchColumn();
$pages = ceil($total / $limit);
// 分页数据查询
$sql .= " LIMIT ? OFFSET ?";
$params[] = $limit;
$params[] = $offset;
$stmt = $pdo->prepare($sql);
$stmt->execute($params);
$results = $stmt->fetchAll(PDO::FETCH_ASSOC);
返回结果时可同时输出$results、当前页、总页数等信息,便于前端渲染分页控件。
4. 前端URL传递与安全建议
前端可通过GET方式提交搜索条件和分页参数,如:
/user_list.php?username=admin&status=active&page=2&per_page=15注意:
- 所有参数需在后端重新校验,不可信任前端传值
- 敏感字段(如状态)应使用白名单校验
- 建议对高频请求做限流,防止恶意扫描
基本上就这些。核心是“动态拼接 + 参数化查询 + 输入过滤”,既能满足复杂查询需求,又能保障系统安全。
