我有一个表单,其中包含一个选择多个选项的输入框,它会以这样的方式POST值:option1,option2,option3等等...
最好的方法是如何将其转换为'option1','option2','option3'等等...
目前我正在这样做,但感觉不对?
$variable=explode(",", $variable);
$variable=implode("','", $variable);
SELECT * FROM TABLE WHERE some_column IN ('$variable')
您可以将任何代码包装在一个函数中,以消除“感觉不对”的感觉。例如:
function buildSqlInClauseFromCsv($csv)
{
return "in ('" . str_replace(",", "','", $csv) . "') ";
}
我们知道implode将数组转换为字符串,需要提供分隔符和数组,如下所示,这里我们使用逗号作为分隔符。 Implode使用给定的分隔符将数组的每个元素分开,我已经用'(单引号)与分隔符连接起来。
$arr = array();
$arr[] = "raam";
$arr[] = "laxman";
$arr[] = "Bharat";
$arr[] = "Arjun";
$arr[] = "Dhavel";
var_dump($arr);
$str = "'".implode("','", $arr)."'";
echo $str;
输出: 'raam','laxman','Bharat','Arjun','Dhavel'
WHERE column IN ('".str_replace(",", "','", $_GET[stringlist])."')
在SQL中转义字符串只有一种正确的方法 - 使用数据库API提供的函数来转义SQL字符串。虽然mysyl_*提供了mysql_real_escape_string():
$choices = explode(",", $variable);
foreach($choices as &$choice)
$choice = "'".mysql_real_escape_string($choice)."'";
$choices = implode(",", $choices);
$choices = explode(",", $variable);
foreach($choices as &$choice)
$choice = $pdoDb->quote($choice);
$choices = implode(",", $choices);
请注意,PDO::prepare 在这里并不真正起作用
'放在一起呢?或者你是将它们放在了没有展示的代码里? - Francisco Presencia