SQL スプライシングの問題?
要件: 都道府県、顧客名、換気時間の 3 つの条件に従って並べ替えます。これら 3 つの並べ替え条件はすべてチェック ボックスで選択できます。
$where = array();if($sel_key10){$where[] =" cu.province "; // 省}if($sel_key11){$where[] =" cu.KFName"; // 客户名称}if($sel_key12){$where[] = " cu.GiveGasTime "; // 通气时间 }$MYSQL->query("select * from customer cu " . (!empty($where) ? 'order by '. implode(',',$where) : '');
<form method=post><input type="checkbox" name="sel_key10" />省份<input type="checkbox" name="sel_key11" />客户名称<input type="checkbox" name="sel_key12" />通气时间<input type=submit></form><?php$dict = array( 'sel_key10' => 'cu.province', // 省 'sel_key11' => 'cu.KFName', // 客户名称 'sel_key12' => 'cu.GiveGasTime', // 通气时间 );$sql = "select * from customer cu ";if($_POST) { $t = array_intersect_key($dict, $_POST); if($t) $sql .= 'order by ' . join(', ', $t);}echo $sql;
フォームを修正すると
<form method=post><input type="checkbox" name="o[]" value="cu.province" />省份<input type="checkbox" name="o[]" value="cu.KFName" />客户名称<input type="checkbox" name="o[]" value="cu.GiveGasTime" />通气时间<input type=submit></form><?php$sql = "select * from customer cu ";if(isset($_POST['o'])) { $sql .= 'order by ' . join(', ', $_POST['o']);}echo $sql;
修正するとフォームの処理が楽になります
<form method=post><input type="checkbox" name="o[]" value="cu.province" />省份<input type="checkbox" name="o[]" value="cu.KFName" />客户名称<input type="checkbox" name="o[]" value="cu.GiveGasTime" />通气时间<input type=submit></form><?php$sql = "select * from customer cu ";if(isset($_POST['o'])) { $sql .= 'order by ' . join(', ', $_POST['o']);}echo $sql;
SQLインジェクションの脆弱性が生じやすいので注意して使用してください