我需要确保一个大的 SQL 语句在其 WHERE 子句中有很多条件,所以我使用 $wpdb-> 为 WHERE 子句创建了一个数组->正确准备但是在最后将这个数组作为字符串连接在一起时发生了错误声明。
这是我的一些代码..是否足够安全,或者它可能会导致 SQL 注入(inject)?
附言我尝试在最后一个 get_row 函数中制作另一个 $wpdb->prepare 但是 join 函数在 WHERE 子句前后加上引号所以语句产生错误。
foreach( $args as $field => $field_value ) {
if( ! is_null( $field_value ) ) {
switch( $field ) {
case 'id': {
if( is_numeric( $field_value ) && ( intval( $field_value ) > 0 ) ) {
$where[] = $wpdb->prepare( 'tbl_names.id = %d', $field_value );
}
} break;
case 'name': {
$where[] = $wpdb->prepare( 'tbl_names.name = %s', $field_value );
} break;
}
}
}
// NOT Working
return $wpdb->get_row( $wpdb->prepare( "SELECT * FROM {$tbl_names} tbl_names WHERE %s", join( ' AND ', $where ) ), ARRAY_A );
// Working Good .. BUT Is it Safe??
return $wpdb->get_row( ( "SELECT * FROM {$tbl_names} tbl_names WHERE " . join( ' AND ', $where ) ), ARRAY_A );
最佳答案
不幸的是,我认为这将是一段时间内唯一的答案。
$count = 0;
$query = "SELECT * FROM {$tbl_names} tbl_names";
foreach( $args as $field => $field_value ) {
if( ! is_null( $field_value ) ) {
$count++;
$query .= ( 1 == $count ) ? ' WHERE ' : ' AND ';
switch( $field ) {
case 'id': {
$query .= $wpdb->prepare( 'tbl_names.id = %d', $field_value );
} break;
case 'name': {
$query .= $wpdb->prepare( 'tbl_names.name = %s', $field_value );
} break;
}
}
}
return $wpdb->get_row( $query, ARRAY_A );
关于mysql - 使用 wpdb 安全地准备 "where"收集 "join"子句数组,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54382863/