将 PHP 变量传递给 sql 查询

Question

我想创建一个过滤器，并将类别和值都传递到 WHERE 子句中的 sql 查询中。 如果我手动设置类别，它会获取值并过滤结果。但是当我想通过类别时，它给了我这个错误。

这是我使用的代码：

$('#filterEvents').click(function () {
    document.location.href = 'events.php?filter=' + $('#eventFilterOption').val() + '&filterValue=' + $('#eventFilterInput').val();
});

以及PHP处理：

$category = $_GET['filter'];
$searchValue = $_GET['filterValue'];

$sql = "SELECT EV_Date, EV_KKZ, EV_CardNr, TE_Name, EV_Name, EV_SurName, EV_EventTyp FROM events1
    INNER JOIN terminal1 ON terminal1.TE_IDX = events1.EV_FK_TermIDX
    WHERE ".$category." = '" . $searchValue . "'
    ORDER BY EV_Date DESC
    LIMIT 2000";

print_r($sql);

$query = $DB->prepare($sql);
$query->execute();
$data = $query->fetchAll(PDO::FETCH_ASSOC);

Answer 1

这里有空值：

$category = $_GET['filter'];
$searchValue = $_GET['filterValue'];

您应该调试如何在 js 中获取它们的方法。 顺便说一句，打开此页面 /events.php 时，您将始终看到该错误。因为这些变量默认为空。

Answer 2

您在获取变量时遇到问题 - PHP 脚本没有获取值 - 所以我相信您的 Javascript 中存在错误。

更重要的是，这不是运行查询的安全方式。您的 PHP 正在获取用户传递的变量并将它们直接插入 SQL - 没有验证。滥用此功能来提取信息或修改您的数据库非常容易。

你应该使用$category的值来选择一个已知的列，然后使用绑定参数来设置$searchValue。

Answer 3

如果您稍微更改功能，您将能够使用带有绑定参数的准备好的查询。

所以说你现在有颜色和大小的过滤器看起来你会调用像

这样的 url

events.php?filter=Colour&filterValue=Red
events.php?filter=Size&filterValue=Large

你可以改为通过 filter[name]=value

events.php?filterColour=Red
events.php?filterSize=Large

Javascript 看起来像这样

$('#filterEvents').click(function () {
    document.location.href = 'events.php?filter' + $('#eventFilterOption').val() + '=' + $('#eventFilterInput').val();
});

查询可以改写如下（假设大小和颜色列）

$sql = "SELECT EV_Date, ....
WHERE 
  ( '' = :colour OR Colour = :colour ) AND
  ( '' = :size OR Size = :size ) 
ORDER BY ....

并添加了绑定实际参数的调用

$query = $DB->prepare($sql);
$query->bindParam(':colour', $_GET['filterColour'], PDO::PARAM_STR, 12);
$query->bindParam(':size', $_GET['filterSize'], PDO::PARAM_STR, 12);
$query->execute();

这允许您使用准备好的查询并避免 SQL 注入的风险 作为奖励（或错误），它可以同时支持多个过滤器选项

events.php?filterSize=Large&filterColour=Red