从表中选择多个 ID

Question

我想根据 url 字符串选择一些 id，但我的代码只显示第一个。 如果我手动编写 id，它会很好用。

我有一个这样的网址 http://www.mydomain.com/myfile.php?theurl=1,2,3,4,5 (ids)

现在在 myfile.php 中我有我的 sql 连接并且：

$ids = $_GET['theurl']; (and i am getting 1,2,3,4,5)

如果我用这个：

$sql = "select * from info WHERE `id` IN (1,2,3,4,5)";
$slqtwo = mysql_query($sql);
while ($tc = mysql_fetch_assoc($slqtwo)) {
    echo $tc['a_name'];
    echo " - ";
}

我得到了正确的结果。现在，如果我使用下面的代码，它就不起作用了：

$sql = "select * from info WHERE `id` IN ('$ids')";
$slqtwo = mysql_query($sql);
while ($tc = mysql_fetch_assoc($slqtwo)) {
    echo $tc['a_name'];
    echo " - ";
}

有什么建议吗？

Answer 1

当你插入时

"select * from info WHERE `id` IN ('$ids')"

使用您的 ID，您将获得：

"select * from info WHERE `id` IN ('1,2,3,4,5')"

...它将您的一组 ID 视为单个字符串而不是一组整数。

去掉IN子句中的单引号，像这样：

"select * from info WHERE `id` IN ($ids)"

另外，不要忘记您需要检查 SQL 注入攻击。您的代码目前非常危险，并且存在严重数据丢失或访问的风险。考虑一下如果有人使用以下 URL 调用您的网页并且您的代码允许他们在单个查询中执行多个语句会发生什么：

http://www.example.com/myfile.php?theurl=1);delete from info;-- 

Answer 2

你也可以试试FIND_IN_SET()功能

$SQL = "select * from info WHERE FIND_IN_SET(`id`, '$ids')"

或

$SQL = "select * from info WHERE `id` IN ($ids)"