使用 PHP 使用 IN 子句查询 MySQL

Question

我想做一个类似下面的查询：

SELECT f_name, l_name, title from
-> employee_data where title 
-> IN ('Web Designer', 'System Administrator');

搜索词在数组$data = ['Web Designer', 'System Administrator'] 中接收，现在我可以使用以下方法将该数组转换为Web Designer,System Administrator：

 $data = implode(',', $data)

有没有一种好方法可以将该数组转换为'Web Designer', 'System Administrator'，以便我可以将这个短语直接插入到 MySQL 查询中，如帖子开头所示？

Answer 1

您可能应该使用：

$data = implode( ', ', array_map( $data, array( $object, 'escape')));
$query .= 'title IN ( ' . $data . ')'; // Append to condition

$object->escape() 的功能如下：

public function $escape( $string){
   return "'" . mysql_real_escape_string( $string, $this->connection) . "'";
}

这是array_map() 文档和mysql_real_escape_string()。这应该是SQL injection 证明解决方案。

Answer 2

试试这个

 $data = array('Web Designer', 'System Administrator');
 $query_include = "'".implode("','",$data)."'";
 $query ="SELECT f_name, l_name, title from
          employee_data where title 
           IN ($query_include);";

正如 Vyktor 指出的那样，可能会发生 SQL 注入，我完全同意，因此在不更改上述代码的情况下，我将把这段代码添加到上面

 function clean(&$item) {
  $item = mysql_real_escape_string($item);
 }
array_walk($data,"clean");

Answer 3

当然可以

$data = "'"
        .implode("','", $data).
        "'";

它有点不可读，但它正在工作。 还要确保$data 不是用户数据，如果是，请确保它已被清理。

Answer 4

像这样修改查询：

$query = 'SELECT f_name, l_name, title from
         -> employee_data where title 
         -> IN (\'' . implode('\', \'', $data) . '\')';