PHP数据库条件查询需用WHERE子句并安全传参:一、PDO预处理用命名占位符;二、mysqli面向对象用问号占位符与bind_param;三、动态条件用数组拼接WHERE;四、LIKE模糊查询须转义%_;五、多表JOIN需区分ON与WHERE条件。
如果您在使用PHP进行数据库的增删改查操作时,需要根据特定条件筛选数据,则必须在SQL语句中正确嵌入WHERE子句,并确保参数安全传递。以下是几种常见且实用的条件查询写法示例:
一、使用PDO预处理语句添加条件筛选
PDO预处理语句可有效防止SQL注入,适用于动态条件拼接,支持单条件与多条件组合查询。
1、创建PDO连接实例并设置错误模式为异常抛出。
2、编写带命名占位符的SELECT语句,例如:SELECT * FROM users WHERE status = :status AND age > :min_age。
3、调用prepare()方法准备语句,再使用execute()传入关联数组绑定参数值。
4、使用fetch()或fetchAll()获取结果集。
二、使用mysqli面向对象方式实现条件查询
mysqli扩展支持面向对象风格,通过bind_param()绑定变量类型与值,确保整型、字符串等数据类型安全传递。
1、初始化mysqli对象并检查连
接是否成功。
2、定义含问号占位符的查询语句,如SELECT * FROM products WHERE category_id = ? AND price BETWEEN ? AND ?。
3、调用prepare()生成预处理对象,再使用bind_param()按顺序绑定参数类型(如"isi")及对应变量。
4、执行execute(),调用get_result()获取结果集,再用fetch_assoc()逐行读取。
三、构建动态WHERE条件的数组拼接法
当筛选条件不确定(如前端传入多个可选字段),需动态拼接WHERE子句,避免语法错误和空条件导致的逻辑漏洞。
1、初始化空条件数组$conditions和参数绑定数组$params。
2、对每个可能的查询字段(如name、email、start_date)判断是否非空,若满足则向$conditions追加字段条件字符串,并向$params追加对应值。
3、使用implode(" AND ", $conditions)生成完整WHERE片段,再拼入主SQL语句中。
4、使用PDO::prepare与execute($params)执行查询。
四、LIKE模糊查询与转义特殊字符处理
LIKE用于实现关键词模糊匹配,但需注意下划线(_)和百分号(%)为通配符,用户输入内容必须转义以防止误匹配或注入风险。
1、从GET或POST获取搜索关键词,如$_GET['keyword']。
2、使用addcslashes()对关键词中的%、_、\进行反斜杠转义,例如addcslashes($keyword, '%_\\')。
3、构造LIKE模式字符串,如"%{$escaped_keyword}%",并将其作为预处理参数传入。
4、在SQL中使用WHERE title LIKE :pattern,并绑定该模式字符串。
五、多表联查配合条件筛选的JOIN写法
在涉及用户与订单等关联表查询时,需通过JOIN明确表间关系,并将筛选条件合理分布于ON与WHERE子句中,避免笛卡尔积或过滤失效。
1、使用INNER JOIN连接users表与orders表,ON子句指定关联字段,如ON users.id = orders.user_id。
2、在WHERE子句中添加业务条件,例如users.status = 'active' AND orders.created_at >= '2025-01-01'。
3、若需包含未下单用户,改用LEFT JOIN,并将用户状态条件保留在WHERE,订单时间条件移至ON子句右侧以保留NULL记录。
4、执行查询后,使用fetch()获取每条联查结果,注意字段名冲突时使用别名,如users.name AS user_name。
