多条件筛选SQL查询技巧详解

哈喽！今天心血来潮给大家带来了《多条件筛选用户数据的SQL查询技巧》，想必大家应该对文章都不陌生吧，那么阅读本文就都不会很困难，以下内容主要涉及到，若是你正在学习文章，千万别错过这篇文章~希望能帮助到你！

本文详细阐述了如何在SQL查询中使用`AND`逻辑运算符来组合多个条件，从而实现根据用户会话（如`$_SESSION`变量）动态过滤数据的需求。教程将演示如何将用户身份信息安全地集成到SQL查询中，并重点强调使用预处理语句（Prepared Statements）来防范SQL注入攻击，确保Web应用的数据安全和功能性。

在构建Web应用程序时，根据当前登录用户的身份来过滤和显示数据是一种非常常见的需求。例如，一个图书管理系统可能需要只显示特定用户借阅的过期书籍。这通常涉及到在SQL查询中添加额外的条件，以匹配当前用户的唯一标识符，例如用户名或用户ID。

理解SQL WHERE 子句与多条件

SQL的WHERE子句用于从表中筛选满足指定条件的行。当需要同时满足多个条件时，可以使用逻辑运算符AND或OR来组合这些条件。

• AND 运算符：当所有连接的条件都为真时，整个条件才为真。
• OR 运算符：当任一连接的条件为真时，整个条件就为真。

在本场景中，我们需要同时满足“书籍状态为过期”和“书籍属于当前登录用户”这两个条件，因此AND运算符是正确的选择。

将用户会话数据集成到SQL查询中

假设我们有一个PHP应用程序，用户的登录名存储在$_SESSION['login_user']变量中。要将此信息添加到现有的SQL查询中，我们需要在WHERE子句中使用AND运算符。

考虑以下原始SQL查询，它用于检索所有过期书籍的信息：

SELECT
    user.username, books.bid, name, authors, edition,
    status, approve, issue, issue_book.return
FROM user
INNER JOIN issue_book ON user.username = issue_book.username
INNER JOIN books ON issue_book.bid = books.bid
WHERE issue_book.approve = 'EXPIRED'
ORDER BY `issue_book`.`return` DESC;

为了使其只显示当前登录用户的过期书籍，我们需要添加一个条件：user.username = '当前登录用户名'。

修改后的SQL查询结构：

SELECT ...
FROM ...
WHERE issue_book.approve = 'EXPIRED' AND user.username = '当前登录用户名'
ORDER BY ...;

实施与安全最佳实践：使用预处理语句

直接将$_SESSION变量的值拼接到SQL查询字符串中是非常危险的，因为它可能导致SQL注入攻击。攻击者可以通过在用户名中插入恶意SQL代码来操纵查询，从而访问或修改未经授权的数据。

强烈建议使用预处理语句（Prepared Statements）来安全地处理用户输入。 预处理语句将SQL逻辑与数据分离，有效地防止了SQL注入。

以下是使用PHP mysqli 扩展和预处理语句实现上述功能的示例代码：

<?php
session_start(); // 确保会话已启动

// 假设 $db 已经是一个 mysqli 数据库连接对象
// 例如：$db = new mysqli("localhost", "username", "password", "database");

if(isset($_SESSION['login_user'])) {
    $exp_status = 'EXPIRED';
    $current_username = $_SESSION['login_user'];

    // 1. 准备SQL语句，使用占位符 (?) 代替实际值
    $sql = "
        SELECT
            u.username, b.bid, b.name, b.authors, b.edition,
            ib.status, ib.approve, ib.issue, ib.return
        FROM user u
        INNER JOIN issue_book ib ON u.username = ib.username
        INNER JOIN books b ON ib.bid = b.bid
        WHERE ib.approve = ? AND u.username = ?
        ORDER BY ib.return DESC";

    // 2. 准备预处理语句
    if ($stmt = $db->prepare($sql)) {
        // 3. 绑定参数
        // 'ss' 表示绑定两个字符串类型参数
        $stmt->bind_param("ss", $exp_status, $current_username);

        // 4. 执行语句
        $stmt->execute();

        // 5. 获取结果集
        $res = $stmt->get_result();

        if ($res->num_rows == 0) {
            echo "<p>您没有过期的书籍。</p>";
        } else {
            echo "<table class='table table-bordered'>";
            echo "<tr style='background-color: #abb79b; color: white;'>";
            echo "<th>用户名</th><th>BID</th><th>书名</th><th>作者</th><th>版本</th><th>状态</th><th>归还日期</th>";
            echo "</tr>";
            while ($row = $res->fetch_assoc()) {
                echo "<tr style='background-color: white;'>";
                echo "<td>" . htmlspecialchars($row['username']) . "</td>";
                echo "<td>" . htmlspecialchars($row['bid']) . "</td>";
                echo "<td>" . htmlspecialchars($row['name']) . "</td>";
                echo "<td>" . htmlspecialchars($row['authors']) . "</td>";
                echo "<td>" . htmlspecialchars($row['edition']) . "</td>";
                echo "<td>" . htmlspecialchars($row['status']) . "</td>";
                echo "<td>" . htmlspecialchars($row['return']) . "</td>";
                echo "</tr>";
            }
            echo "</table>";
        }
        // 6. 关闭语句
        $stmt->close();
    } else {
        echo "<p>数据库查询准备失败: " . $db->error . "</p>";
    }
} else {
    echo "</br></br></br>";
    echo "<h2><b>请先登录。</b></h2>";
}
?>

代码解释：

1. $db->prepare($sql): 创建一个预处理语句对象。SQL查询中的?是参数占位符。
2. $stmt->bind_param("ss", $exp_status, $current_username): 将PHP变量绑定到SQL语句中的占位符。
   • 第一个参数"ss"是一个字符串，指示后续参数的数据类型。s代表字符串（string）。这里有两个s，表示绑定两个字符串参数。
   • 接下来的参数是按顺序绑定到占位符的变量。
3. $stmt->execute(): 执行预处理语句。此时，数据库驱动程序会安全地将绑定的值插入到查询中。
4. $stmt->get_result(): 获取查询结果集。
5. htmlspecialchars(): 在输出数据到HTML页面时，使用htmlspecialchars()函数对数据进行转义，以防止跨站脚本（XSS）攻击。

注意事项与总结

• SQL注入防护至关重要：始终使用预处理语句或ORM（对象关系映射）工具来处理所有用户提供的数据，包括来自$_SESSION、$_GET、$_POST等的数据。
• 错误处理：在实际应用中，应包含更健壮的错误处理机制，例如检查prepare()和execute()的返回值，并记录错误日志。
• 性能优化：对于大型数据集，确保WHERE子句中使用的列（如issue_book.approve和user.username）上有适当的索引，可以显著提高查询性能。
• 代码可读性：为SQL查询和PHP代码添加注释，使用有意义的变量名，保持代码整洁，提高可读性和可维护性。

通过遵循这些指导原则，您可以安全高效地在SQL查询中添加多个条件，以实现基于用户身份的动态数据过滤功能，从而构建更加健壮和用户友好的Web应用程序。

今天关于《多条件筛选SQL查询技巧详解》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！