本文讲解如何安全、准确地从mysql数据库中查询当前登录用户的记录,并导出为excel文件,重点解决因会话变量名不匹配或sql注入风险导致的查询失败问题。
在PHP Web应用中,常需为每位登录用户导出其专属数据(如工单、订单、日志等)至Excel。你遇到的问题——WHERE UserName = $_SESSION['useruid'] 查询无结果,而全表查询却正常——通常源于两个关键原因:字段名与会话键名不一致,以及未做SQL注入防护。
首先,请确认数据库字段名与会话变量实际存储内容是否匹配:
- 若数据库中存储用户名的字段是 UserName,则应使用 $_SESSION['username'](而非 useruid);
- 若字段是 user_id 或 uid,则应对应 $_SESSION['useruid'],但此时条件应为 user_id = ?,且需确保该字段类型与值一致(如整型ID不应与字符串用户名混用)。
✅ 正确写法(推荐使用预处理语句,杜绝SQL注入):
// 假设数据库字段为 'UserName',且登录时已将用户名存入 $_SESSION['username']
$stmt = $conn->prepare("SELECT id, subject, status, created_at FROM tickets_list WHERE UserName = ?");
$stmt->bind_param("s", $_SESSION['username']);
$stmt->execute();
$result = $stmt->get_result();⚠️ 切勿再使用拼接字符串方式(如 ".$_SESSION['...']."'),否则极易引发SQL注入漏洞,且一旦 $_SESSION['useruid'] 为空、未定义或含特殊字符,查询将直接失败或返回意外结果。
导出为Excel(兼容Excel 2003+,使用CSV格式,轻量可靠)示例:
// 设置响应头,触发下载
header('Content-Type: text/csv; charset=utf-8');
header('Content-Disposition: attachment; filename="my_tickets_' . date('Y-m-d') . '.csv"');
$output = fopen('php://output', 'w');
// 写入UTF-8 BOM以确保Excel正确识别中文
fprintf($output, "\xEF\xBB\xBF");
// 写入表头
fputcsv($output, ['ID', '主题', '状态', '创建时间']);
// 写入数据行
while ($row = $result->fetch_assoc()) {
fputcsv($output, [
$row['id'],
$row['subject'],
$row['status'],
$row['created_at']
]);
}
fclose($output);
exit;? 注意事项:
- 确保会话已启动(session_start())且 $_SESSION['username'] 在登录后被正确赋值;
- 检查数据库字段大小写(如 username vs UserName),MySQL在Linux环境下默认区分表/列名大小写;
- 若使用PDO,建议统一采用 PDO::prepare() + execute() 方式;
- 如需生成.xlsx格式(支持样式、多Sheet),可引入开源库如 PhpSpreadsheet,但CSV方案更简洁、高效、兼容性更好。
总结:精准导出用户专属数据的核心在于——字段与会话键严格对应 + 预处理防止注入 + 输出前校验会话有效性。修复变量名并升级为预处理查询,即可稳定、安全地实现按用户导出。
