我在描述这个"问题"时遇到了一些麻烦。请随意将标题更改为对此主题更具描述性的内容。
我有一个数据库,希望让用户有机会选择如何对结果进行排序、搜索数据库等。
我正在使用PHP和MySQL。
我以这个表格设置为例:
table Persons
+----+------+----------+------------+------+-----+
| id | age | gender | date | hits | car |
+----+-----------------+------------+------+-----+
| 1 | 18 | male | xx.xx.xxxx | 1040 | 1 |
| 2 | 35 | female | xx.xx.xxxx | 443 | 2 |
| 3 | 67 | male | xx.xx.xxxx | 453 | 2 |
| 4 | 10 | male | xx.xx.xxxx | 3454 | 4 | ==> 4 means Citroen
| 5 | 98 | female | xx.xx.xxxx | 323 | 6 |
+----+------+----------+------------+------+-----+
table Cars
+----+----------+
| id | model |
+----+----------+
| 1 | Porche |
| 2 | Ferrari |
| 3 | Volvo |
| 4 | Citroen |
| 5 | VW |
+----+----------+
从数据库中选择数据的方法可能是这样的:
$sql = "SELECT *, DATE_FORMAT(date, '%b %e, %Y') AS show_date FROM persons ORDER BY date DESC LIMIT 100";
但是,如果我想让用户有机会按日期、点击、评级(另一个表)降序和升序排序,并且还有机会只选择年龄在 X 岁以下且性别为男性的人(例如)。我该怎么做?我是否需要为所有可能的查询进行if else
,还是可以在一个查询中进行?
不需要完成代码片段,我只需要知道是否有任何好的文章或"最佳实践"方法来做到这一点。最好使用最简单,最安全的方法。
附言你怎么称呼这种"问题"?
在搜索查询函数中,只需获取搜索字段、选项等并构建查询字符串。如果 SELECT
语句始终拉取相同的字段,则可以从创建查询到 WHERE
子句开始,然后从那里生成。(确保保护用户输入免受 SQL 注入攻击。使用预准备语句或手册中的暗示性方法(由我的前代码中的getSqlVal()
定义。这里有一个小例子:
$sql = "SELECT ... FROM Persons p, Cars c WHERE p.car = c.id";
if(isset($_POST["age"]))
$sql .= " AND age < " . getSqlVal($_POST["age"], 'int');
if(isset($_POST["gender"]))
$sql .= " AND gender = '" . getSqlVal($_POST["gender"], 'text') . "'";
if(isset($_POST["sortBy"])){
$sql .= " ORDER BY " . getSqlVal($_POST["sortBy"], 'text');
if(isset($_POST["sortDirection"]) && $_POST["sortDirection"] == "DESC")
$sql .= " DESC";
}
简单地说,你想出一个表示他们实际请求的模型,然后你很可能将该模型展示到动态创建的 SQL 语句中,该语句返回其查询的适当数据。
例如,如果他们只想要年龄、性别、按点击排序,你就会知道不要费心加入 Cars 表(因为他们不需要该表中的任何内容)。然而,如果他们确实想要汽车模型,您会根据需要添加连接。
您可以将
所有这些选项括在 switch
语句中,并将 URL $_GET
变量传递给它。
例如,要自定义排序,请将sort_by
变量传递给 URL:
/my_list.php?sort_by=hits
并像这样构造swith
语句:
$sort_by = '';
switch ($_GET['sort_by']) {
case 'rating':
$sort_by = ' ORDER BY `rating` ';
break;
case 'hits':
$sort_by = ' ORDER BY `hits` ';
break;
default:
$sort_by = ' ORDER BY `date` ';
break;
}
然后,您的查询将如下所示:
$sql = "SELECT *, DATE_FORMAT(date, '%b %e, %Y') AS show_date
FROM persons "
. $sort_by .
"DESC LIMIT 100";