如何使用Javascript动态创建sqlselect请求,然后使用Ajax执行它
这就是我的问题: 我需要通过复选框应用的过滤器从我的数据库(MySQL)获取信息 作为一个约束,我必须在javascript中执行,然后使用Ajax执行请求 它本来可以通过无线电输入,但由于它是复选框,我无法预先确定我的用户在获得他们想要的信息时会有多少个过滤器 我正在考虑创建一个字符串,它将是我需要的过滤器的串联,但我不确定这是否是良好的做法,也不确定它是否会违反安全性:((这对该项目肯定不好) 下面是我想做的一个例子:如何使用Javascript动态创建sqlselect请求,然后使用Ajax执行它,javascript,mysql,ajax,Javascript,Mysql,Ajax,这就是我的问题: 我需要通过复选框应用的过滤器从我的数据库(MySQL)获取信息 作为一个约束,我必须在javascript中执行,然后使用Ajax执行请求 它本来可以通过无线电输入,但由于它是复选框,我无法预先确定我的用户在获得他们想要的信息时会有多少个过滤器 我正在考虑创建一个字符串,它将是我需要的过滤器的串联,但我不确定这是否是良好的做法,也不确定它是否会违反安全性:((这对该项目肯定不好) 下面是我想做的一个例子: [ ] a [x] b [ ] c 那么我的SQL请求应该是: SEL
[ ] a [x] b [ ] c
SELECT 'column' FROM 'table' WHERE 'id' = b
SELECT 'column' FROM 'table' WHERE 'id' = a OR 'id' = c
[x] a [ ] b [x] c
SELECT 'column' FROM 'table' WHERE 'id' = b
SELECT 'column' FROM 'table' WHERE 'id' = a OR 'id' = c
提前感谢=)不要在客户端构建SQL查询。这意味着您的数据库将对任何人运行任意查询开放。恶意用户可能会欺骗浏览器发送,例如,从用户处选择密码(如果DB用户具有写入权限,则更糟) 相反,您应该将查询参数作为普通URL参数发送到服务器。比如说,
GET/query?a=true&b=false&c=trueconnection.query('SELECT * FROM table WHERE a = ? AND b = ? AND c = ?', [validatedA, validatedB, validatedC], function(err, results) {
// ...
});
mysql还有许多其他问题涉及到这个问题。例如(关于PHP,但建议适用于任何平台):和。不要在客户端构建SQL查询。这意味着您的数据库将对任何人运行任意查询开放。恶意用户可能会欺骗浏览器发送,例如,从用户处选择密码(如果DB用户具有写入权限,则更糟) 相反,您应该将查询参数作为普通URL参数发送到服务器。比如说,
GET/query?a=true&b=false&c=trueconnection.query('SELECT * FROM table WHERE a = ? AND b = ? AND c = ?', [validatedA, validatedB, validatedC], function(err, results) {
// ...
});
mysql还有许多其他问题涉及到这个问题。例如(都是关于PHP的,但建议适用于任何平台):和。永远不要在客户端构建SQL查询。这意味着您的数据库将对任何人运行任意查询开放。恶意用户可能会欺骗浏览器发送,例如,
从用户选择密码从用户选择密码