Php 使用动态WHERE子句准备语句

好的，我的问题是我有一个函数，但我想在它执行查询时解析不同的WHERE子句。例如：

function query($where)
{
$query = $mysql->prepare("SELECT * FROM table WHERE ?");
$query->bind_param("s", $where);
$query->execute();

...

}

query("table.id=123 AND table.name='abc'");

---

我知道这是不正确的，所以我如何执行类似的操作，我有很多地方需要使用带有不同where子句的函数，为每个where子句创建函数是不切实际的，因此不创建函数并直接调用它。

在

if

（或者，如果存在大量差异，

开关

）语句：

if($item === 'option1'){
    $query = "SELECT * FROM table WHERE item = ?;";
    $preparedQuery = $mysql->prepare($query);
    $preparedQuery->bind_param("s", $someString);
} elseif($item === 'option2'){
    $query = "SELECT * FROM table WHERE different = ?;";
    $preparedQuery = $mysql->prepare($query);
    $preparedQuery->bind_param("i", $someInteger);
}

$preparedQuery ->execute();

显然过度泛化了，但您应该了解总体思路。如果您知道始终存在相同数量的值，并且始终是相同类型的值，您可以将其简化：

if($item === 'option1'){
    $query = "SELECT * FROM table WHERE item = ?;";
} elseif($item === 'option2'){
    $query = "SELECT * FROM table WHERE different = ?;";
}

$preparedQuery = $mysql->prepare($query);
$preparedQuery->bind_param("s", $someString);
$preparedQuery->execute();

---

对于带有WHERE子句的准备语句，您必须指定稍后将指定的值，例如：

SELECT * FROM table WHERE ID=?

如果要使其更具动态性，可以在一个函数中指定查询，然后调用查询函数。例如：

function query($query, $param, $where)
{
$query = $mysql->prepare($query);
$query->bind_param($param, $where);
$query->execute();

...

} 

在你的其他功能中，你说：

$results=query("SELECT * FROM table WHERE Id=?","s","1");

通过创建一个可以包含where子句数组的查询类，可以使这一点更加复杂：

class query
{
  public $query;
  public $param;
  public $where;
}

$query=new query();
$query->query="SELECT * FROM Table WHERE group=? AND name like ?";
$query->param="ss";
$query->where = array();
$query->where[]="administrators";
$query->where[]="sam";

并将查询函数更改为如下所示：

function SQLCall(query $query)
{
$db = $mysql->prepare($query->query);
call_user_func_array(array(&$db, 'bind_param'), $where)
$db->execute();

...

}

---

如果该子句是完全任意的，为什么不自己清理输入，然后执行

$mysql->prepare（“SELECT*FROM table WHERE$WHERE”）；

？清理自己的SQL输入可能会出现太多问题。使用像prepare这样的内置函数既安全又简单