背景
您好,我正在用 PHP 和 MySQL 开发一个实验/教育工具。我是 SQL 的新手,但我想从一开始就以正确的方式做事。我正在为所有变量替换使用 PDO 准备语句,并在任何可能的地方反引号(因此,据我所知,它不能移植到非 MySQL 数据库)。关于我的问题,我有一个关于如何进行的想法,但是我需要几个小时才能实现(我什至对 SQL 语法都不熟悉),所以与此同时我想我会先创建一个问题以防有人大喊:“这不是这样做的方法!”并节省我数小时的精力。
问题
我想创建一个用户可以从下拉菜单中进行选择的界面:
A,A.x 和 A.y,B,B.z 和 B.y,提交后,代码将执行内部连接,分别匹配每个字段,例如A.x = B.z、A.y = B.y 等并返回所有匹配的行。
我的计划是简单地生成一个INNER JOIN SQL语句,循环遍历字段并插入占位符(?),绑定(bind)各自的参数,最后执行语句.
有更简单的方法吗?有更好的方法吗?这会以某种方式被利用吗?
非常感谢您。如果在我完成时没有人回应(有疑问),我将发布我的解决方案。
杂项
假设我会验证
A 和 B 之间选择了相同数量的字段,并且字段名称不必相同:它们将按顺序匹配。 (请指出我可能不知道的任何其他细节!)
最终,目标是将这些选择本身保存在“设置”表中。实际上,用户每次回来都会创建他们希望看到的“ View ”。
最佳答案
你做的太对了,以至于我真的感到内疚,指出你做错了什么! :)
您只能使用准备好的语句来参数化字段值——而不是 SQL 标识符,例如列名或表名。因此,您将无法通过准备好的语句参数将 A.x、B.z 等传递到您的 JOIN 条件中:您 必须而不是做那些感觉非常错误的事情,并直接将它们连接到您的 SQL 字符串中。
然而,一切并没有丢失。按照一些模糊的偏好顺序,您可以:
向用户提供一个选项列表,您随后可以从中重新组合 SQL:
<select name="join_a">
<option value="1">x</option>
<option value="2">y</option>
</select>
<select name="join_b">
<option value="1">z</option>
<option value="2">y</option>
</select>
然后你的表单处理程序:
switch ($_POST['join_a']) {
case 1: $acol = 'x'; break;
case 2: $acol = 'y'; break;
default: die('Invalid input');
}
switch ($_POST['join_b']) {
case 1: $bcol = 'z'; break;
case 2: $bcol = 'y'; break;
default: die('Invalid input');
}
$sql .= "FROM A JOIN B ON A.$acol = B.$bcol";
这种方法的优势在于,只要不破坏 PHP(在这种情况下,您将面临比 SQL 注入(inject)更大的担忧),任意 SQL 绝对无法进入您的 RDBMS。 p>
确保用户输入与预期值之一相匹配:
<select name="join_a">
<option>x</option>
<option>y</option>
</select>
<select name="join_b">
<option>z</option>
<option>y</option>
</select>
然后你的表单处理程序:
if (!in_array($_POST['join_a'], ['x', 'y'])
or !in_array($_POST['join_b'], ['z', 'y']))
die('Invalid input');
$sql .= "FROM A JOIN B ON A.$_POST[join_a] = B.$_POST[join_b]";
这种方法依赖于 PHP 的 in_array 函数来确保安全(并且还会向用户公开您的基础列名称,但考虑到您的应用程序,我怀疑这是一个问题)。
执行一些输入清理,例如:
mb_regex_encoding($charset); // charset of database connection
$sql .= 'FROM A JOIN B ON A.`' . mb_ereg_replace('`', '``', $_POST['join_a']) . '`'
. ' = B.`' . mb_ereg_replace('`', '``', $_POST['join_b']) . '`'
虽然我们在这里引用用户输入并替换用户逃避该引用的任何尝试,但这种方法可能充满各种缺陷和漏洞(在 PHP 的 mb_ereg_replace 函数或 MySQL 的处理带引号的标识符中特制的字符串)。
远最好使用上述方法之一来避免将用户定义的字符串完全插入到 SQL 中。
关于php - 安全地实现 "configurable"加入系统,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10925263/
我正在尝试测试是否存在表单。我是Rails新手。我的new.html.erb_spec.rb文件的内容是:require'spec_helper'describe"messages/new.html.erb"doit"shouldrendertheform"dorender'/messages/new.html.erb'reponse.shouldhave_form_putting_to(@message)with_submit_buttonendendView本身,new.html.erb,有代码:当我运行rspec时,它失败了:1)messages/new.html.erbshou
我在从html页面生成PDF时遇到问题。我正在使用PDFkit。在安装它的过程中,我注意到我需要wkhtmltopdf。所以我也安装了它。我做了PDFkit的文档所说的一切......现在我在尝试加载PDF时遇到了这个错误。这里是错误:commandfailed:"/usr/local/bin/wkhtmltopdf""--margin-right""0.75in""--page-size""Letter""--margin-top""0.75in""--margin-bottom""0.75in""--encoding""UTF-8""--margin-left""0.75in""-
为了将Cucumber用于命令行脚本,我按照提供的说明安装了arubagem。它在我的Gemfile中,我可以验证是否安装了正确的版本并且我已经包含了require'aruba/cucumber'在'features/env.rb'中为了确保它能正常工作,我写了以下场景:@announceScenario:Testingcucumber/arubaGivenablankslateThentheoutputfrom"ls-la"shouldcontain"drw"假设事情应该失败。它确实失败了,但失败的原因是错误的:@announceScenario:Testingcucumber/ar
Arel3.0.2提供了两个类来指定连接类型:Arel::Nodes::InnerJoin和Arel::Nodes::OuterJoin并使用InnerJoin默认。foo=Arel::Table.new('foo')bar=Arel::Table.new('bar')foo.join(bar,Arel::Nodes::InnerJoin)#innerfoo.join(bar,Arel::Nodes::OuterJoin)#outerfoo.join(bar,???)#left如果要生成左连接,如何连接两个表? 最佳答案 你可以使用
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A
我遵循MichaelHartl的“RubyonRails教程:学习Web开发”,并创建了检查用户名和电子邮件长度有效性的测试(名称最多50个字符,电子邮件最多255个字符)。test/helpers/application_helper_test.rb的内容是:require'test_helper'classApplicationHelperTest在运行bundleexecraketest时,所有测试都通过了,但我看到以下消息在最后被标记为错误:ERROR["test_full_title_helper",ApplicationHelperTest,1.820016791]test
我有一个用户工厂。我希望默认情况下确认用户。但是鉴于unconfirmed特征,我不希望它们被确认。虽然我有一个基于实现细节而不是抽象的工作实现,但我想知道如何正确地做到这一点。factory:userdoafter(:create)do|user,evaluator|#unwantedimplementationdetailshereunlessFactoryGirl.factories[:user].defined_traits.map(&:name).include?(:unconfirmed)user.confirm!endendtrait:unconfirmeddoenden
我正在尝试从Postgresql表(table1)中获取数据,该表由另一个相关表(property)的字段(table2)过滤。在纯SQL中,我会这样编写查询:SELECT*FROMtable1JOINtable2USING(table2_id)WHEREtable2.propertyLIKE'query%'这工作正常:scope:my_scope,->(query){includes(:table2).where("table2.property":query)}但我真正需要的是使用LIKE运算符进行过滤,而不是严格相等。然而,这是行不通的:scope:my_scope,->(que
我正在尝试编写一个将文件上传到AWS并公开该文件的Ruby脚本。我做了以下事情:s3=Aws::S3::Resource.new(credentials:Aws::Credentials.new(KEY,SECRET),region:'us-west-2')obj=s3.bucket('stg-db').object('key')obj.upload_file(filename)这似乎工作正常,除了该文件不是公开可用的,而且我无法获得它的公共(public)URL。但是当我登录到S3时,我可以正常查看我的文件。为了使其公开可用,我将最后一行更改为obj.upload_file(file
当我尝试安装Ruby时遇到此错误。我试过查看this和this但无济于事➜~brewinstallrubyWarning:YouareusingOSX10.12.Wedonotprovidesupportforthispre-releaseversion.Youmayencounterbuildfailuresorotherbreakages.Pleasecreatepull-requestsinsteadoffilingissues.==>Installingdependenciesforruby:readline,libyaml,makedepend==>Installingrub