WordPress에서 IN() 조건으로 준비된 명령문을 처리하는 방법은 무엇입니까?

WordPress에서 IN() 조건이 포함된 준비된 문 처리

WordPress는 SQL 삽입 공격으로부터 보호하고 쿼리 성능을 향상시키기 위해 준비된 문을 제공합니다. 그러나 문자열에 여러 값이 포함된 IN() 조건을 사용하면 문제가 발생할 수 있습니다.

문제 설명:

다음 상황을 고려하세요.

$villes = '"paris","fes","rabat"';
$sql = 'SELECT distinct telecopie FROM `comptage_fax` WHERE `ville` IN(%s)';
$query = $wpdb->prepare($sql, $villes);

이 코드는 문자열을 제대로 이스케이프하지 않으므로 이스케이프된 이중 문자열이 포함된 단일 문자열이 생성됩니다. 인용문:

SELECT distinct telecopie FROM `comptage_fax` WHERE `ville` IN('\"paris\",\"fes\",\"rabat\"')

해결책:

WordPress에서 여러 값이 포함된 준비된 명령문을 올바르게 구현하려면 다음 단계를 따르세요.

// Create an array of the values to use in the list
$villes = array('paris', 'fes', 'rabat');

// Generate the SQL statement.
// Number of %s items based on length of $villes array
$sql = "
  SELECT DISTINCT telecopie
  FROM `comptage_fax`
  WHERE `ville` IN(" . implode(', ', array_fill(0, count($villes), '%s')) . ")
";

// Call $wpdb->prepare passing the values of the array as separate arguments
$query = call_user_func_array(array($wpdb, 'prepare'), array_merge(array($sql), $villes));

PHP 함수 사용:

• implode() - 배열 요소를 문자열로 결합
• array_fill() - 채워진 배열을 만듭니다. 특정 value
• call_user_func_array() - 배열로 전달된 매개변수를 사용하여 함수를 호출합니다
• array_merge() - 두 배열을 병합합니다

이 접근 방식은 $villes의 값이 올바르게 이스케이프되도록 보장합니다. IN() 조건에서는 별도의 값으로 처리됩니다.

위 내용은 WordPress에서 IN() 조건으로 준비된 명령문을 처리하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!