本教程详细阐述了如何在sql查询中使用`and`操作符组合多个`where`条件,以实现基于用户会话变量(如`$_session['login_user']`)的数据过滤。文章重点强调了在将外部数据(尤其是用户输入或会话数据)整合到sql查询时,必须采用预处理语句(prepared statements)来有效防范sql注入漏洞,并提供了php `mysqli`扩展的实践代码示例。
在SQL中,WHERE子句是用于过滤查询结果集中满足特定条件的行的关键部分。当需要同时满足多个条件才能将行包含在结果集中时,可以使用逻辑运算符AND来连接这些条件。
例如,如果需要查询所有状态为“EXPIRED”且属于特定用户名的书籍记录,就可以使用AND操作符将这两个条件连接起来。
在Web应用程序中,根据当前登录用户的身份来显示个性化数据是一种常见需求。PHP的$_SESSION全局变量是存储用户会话信息的标准方式,例如$_SESSION['login_user']可以存储登录用户的用户名。
要将用户会话数据整合到SQL查询中,我们需要在现有的WHERE子句后面添加新的条件。
立即学习“PHP免费学习笔记(深入)”;
原始查询示例:
SELECT
user.username, books.bid, name, authors, edition,
status, approve, issue, issue_book.return
FROM user
INNER JOIN issue_book ON user.username = issue_book.username
INNER JOIN books ON issue_book.bid = books.bid
WHERE issue_book.approve = '$exp'
ORDER BY `issue_book`.`return` DESC;如果在此基础上增加一个条件,即只显示当前登录用户(假设用户名为$_SESSION['login_user'])的数据,可以直接使用AND连接:
SELECT
user.username, books.bid, name, authors, edition,
status, approve, issue, issue_book.return
FROM user
INNER JOIN issue_book ON user.username = issue_book.username
INNER JOIN books ON issue_book.bid = books.bid
WHERE issue_book.approve = '$exp' AND user.username = '{$_SESSION['login_user']}'
ORDER BY `issue_book`.`return` DESC;需要注意的是,这里明确指定了user.username,以避免在多表连接时可能出现的列名歧义,并提高查询的可读性。
Serendipity是一个采用PHP实现的智能博客BLOG系统,Serendipity功能丰富,符合标准,基于BSDLicense开源。 Serendipity 2.1.3 更新日志:2018-08-16 *安全性:确保RSS的管理员配置和博客条目限制被解析为SQL查询的整数; *安全性:在“编辑条目”面板中防止XSS可能性; *安全性:禁止向多个人发送评论通知和邮件地址;这可用于批
93
直接将外部变量(如$_SESSION['login_user']或$exp)通过字符串拼接的方式嵌入到SQL查询中,会带来严重的安全风险,即SQL注入。恶意用户可以通过构造特定的输入字符串来改变查询的意图,甚至执行任意的数据库操作。
例如,如果$_SESSION['login_user']的值被篡改为 admin' OR '1'='1,那么原始查询条件就会变成 user.username = 'admin' OR '1'='1'。由于 '1'='1' 永远为真,这将导致查询返回所有用户的数据,而不仅仅是登录用户的数据,从而造成数据泄露。
为了彻底防范SQL注入,强烈推荐使用预处理语句。预处理语句将SQL查询的结构与数据分离,数据库服务器会先解析SQL结构,然后再将数据安全地绑定到预留的参数位置。这种机制确保了数据不会被解释为SQL代码的一部分。
以下是使用PHP mysqli 扩展实现预处理语句的示例:
<?php
// 假设 $db 已经是一个有效的 mysqli 数据库连接对象
if (isset($_SESSION['login_user'])) {
$exp_status = 'EXPIRED'; // 使用更具描述性的变量名
$current_username = $_SESSION['login_user'];
// 1. 准备SQL查询模板,使用问号 (?) 作为参数占位符
// 为表使用别名 (u, b, ib) 以提高可读性
$sql = "
SELECT
u.username, b.bid, b.name, b.authors, b.edition,
b.status, ib.approve, ib.issue, ib.return
FROM user u
INNER JOIN issue_book ib ON u.username = ib.username
INNER JOIN books b ON ib.bid = b.bid
WHERE ib.approve = ? AND u.username = ?
ORDER BY ib.return DESC
";
// 2. 准备预处理语句
if ($stmt = mysqli_prepare($db, $sql)) {
// 3. 绑定参数
// 'ss' 表示绑定两个字符串类型参数 (s = string)
mysqli_stmt_bind_param($stmt, "ss", $exp_status, $current_username);
// 4. 执行预处理语句
mysqli_stmt_execute($stmt);
// 5. 获取结果集
$res = mysqli_stmt_get_result($stmt);
if (mysqli_num_rows($res) == 0) {
echo "您没有逾期书籍。";
} else {
?>
<table class='table table-bordered'>
<tr style='background-color: #abb79b; color: white;'>
<th>用户名</th>
<th>书籍ID</th>
<th>书名</th>
<th>作者</th>
<th>版本</th>
<th>状态</th>
<th>归还日期</th>
</tr>
<?php
while ($row = mysqli_fetch_assoc($res)) {
?>
<tr style='background-color: white;'>
<td><?php echo htmlspecialchars($row['username']); ?></td>
<td><?php echo htmlspecialchars($row['bid']); ?></td>
<td><?php echo htmlspecialchars($row['name']); ?></td>
<td><?php echo htmlspecialchars($row['authors']); ?></td>
<td><?php echo htmlspecialchars($row['edition']); ?></td>
<td><?php echo htmlspecialchars($row['status']); ?></td>
<td><?php echo htmlspecialchars($row['return']); ?></td>
</tr>
<?php
}
?>
</table>
<?php
}
// 6. 关闭语句
mysqli_stmt_close($stmt);
} else {
// 错误处理:在生产环境中应记录日志而非直接显示
echo "数据库语句准备失败: " . mysqli_error($db);
}
} else {
echo "</br></br></br>";
echo "<h2><b>";
echo "请先登录。";
echo "</b></h2>";
}
?>在上述代码中,我们采取了以下安全和优化措施:
在SQL查询中添加多个WHERE条件是一个常见需求,可以通过AND或OR逻辑操作符轻松实现。然而,当这些条件涉及来自用户会话或输入的动态数据时,安全性成为首要考虑。采用预处理语句是确保数据库操作安全的黄金法则,它不仅能有效抵御SQL注入攻击,还能提高查询性能(因为数据库只需解析一次查询结构)。通过遵循这些最佳实践,开发者可以构建更健壮、更安全的Web应用程序。
以上就是在SQL查询中安全地使用多个WHERE条件与PHP会话变量的详细内容,更多请关注php中文网其它相关文章!
PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
909
收藏
