MySQL预处理语句中使用IN子句查询字符串时只返回第一行的问题及解决方案

本文旨在解决在使用MySQL预处理语句和IN子句时，当IN子句的值为逗号分隔的字符串时，查询只返回第一行数据的问题。文章将分析问题原因，并提供规范化数据库表结构的解决方案，避免此类问题的发生。

在使用MySQL预处理语句进行数据库查询时，如果WHERE IN子句的值是通过字符串绑定传入的，可能会遇到一个常见的问题：查询结果只返回第一行数据，而非所有匹配的行。 这通常发生在尝试使用逗号分隔的字符串作为IN子句的值时。

问题分析

问题的根源在于MySQL对IN子句的处理方式。当使用预处理语句并绑定字符串参数时，MySQL会将整个字符串视为一个单一的值。因此，WHERE t.order_id IN (:order_ids) 实际上等同于 WHERE t.order_id = '200,201,202'，而不是期望的 WHERE t.order_id IN (200, 201, 202)。 这意味着MySQL会尝试将order_id列的值与整个字符串 '200,201,202' 进行比较，而非分别与 200、201 和 202 进行比较。

示例

假设有如下的 TABLE 表结构：

CREATE TABLE TABLE (
    id INT PRIMARY KEY,
    order_id VARCHAR(255)
);

INSERT INTO TABLE (id, order_id) VALUES
(1, '200'),
(2, '201'),
(3, '202'),
(4, '150'),
(5, '180'),
(6, '181');

如果使用以下PHP代码：

<?php

$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "database";

// Create connection
$conn = new mysqli($servername, $username, $password, $dbname);

// Check connection
if ($conn->connect_error) {
  die("Connection failed: " . $conn->connect_error);
}

$order_ids = '200,201,202';

$stmt = $conn->prepare("
SELECT id FROM TABLE
WHERE order_id IN (?)
");

$stmt->bind_param("s", $order_ids);

$stmt->execute();

$result = $stmt->get_result();

if ($result->num_rows > 0) {
  // output data of each row
  while($row = $result->fetch_assoc()) {
    echo "id: " . $row["id"]. "<br>";
  }
} else {
  echo "0 results";
}

$conn->close();

?>

这段代码只会返回 id 为 1 的记录，因为只有它的 order_id 等于字符串 '200,201,202'（实际上没有这样的记录，如果存在则会返回）。

绘蛙

电商场景的AI创作平台，无需高薪聘请商拍和文案团队，使用绘蛙即可低成本、批量创作优质的商拍图、种草文案

下载

解决方案：规范化数据库表结构

解决此问题的最佳方法是规范化数据库表结构。这意味着将 order_id 列拆分为单独的行，而不是将多个ID存储在一个逗号分隔的字符串中。

修改后的 TABLE 表结构如下：

CREATE TABLE Orders (
    id INT PRIMARY KEY AUTO_INCREMENT,
    order_id INT
);

INSERT INTO Orders (order_id) VALUES
(200),
(201),
(202),
(150),
(180),
(181);

使用规范化后的表结构，就可以使用预处理语句和IN子句，并且能正确地返回所有匹配的行。 但是，需要将逗号分隔的字符串转换为一个数组，然后动态构建IN子句。

<?php

$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "database";

// Create connection
$conn = new mysqli($servername, $username, $password, $dbname);

// Check connection
if ($conn->connect_error) {
  die("Connection failed: " . $conn->connect_error);
}

$order_ids = '200,201,202';
$order_ids_array = explode(',', $order_ids);

// 构建预处理语句的占位符
$placeholders = implode(',', array_fill(0, count($order_ids_array), '?'));

$stmt = $conn->prepare("
SELECT id FROM Orders
WHERE order_id IN (" . $placeholders . ")
");

// 绑定参数
$types = str_repeat('i', count($order_ids_array)); // 'i' 代表 integer
$stmt->bind_param($types, ...$order_ids_array);

$stmt->execute();

$result = $stmt->get_result();

if ($result->num_rows > 0) {
  // output data of each row
  while($row = $result->fetch_assoc()) {
    echo "id: " . $row["id"]. "<br>";
  }
} else {
  echo "0 results";
}

$conn->close();

?>

注意事项

• SQL注入风险： 动态构建SQL语句时，需要特别注意SQL注入的风险。请始终使用预处理语句并绑定参数，以确保数据的安全性。
• 性能考虑： 对于非常大的IN子句，性能可能会受到影响。 可以考虑使用临时表或FULLTEXT索引来优化查询。
• 数据类型一致性： 确保order_id列的数据类型与IN子句中的值的数据类型一致。 如果order_id是整数类型，则IN子句中的值也应该是整数。

总结

当在MySQL预处理语句中使用IN子句查询字符串时，如果字符串包含逗号分隔的值，则查询可能只会返回第一行数据。为了解决这个问题，应该规范化数据库表结构，将多个值存储在单独的行中。同时，使用预处理语句并绑定参数可以防止SQL注入风险，提高数据安全性。