PHP动态拼接SQL应跳过空条件而非拼空值,字段名须白名单校验,IN条件需动态生成占位符,NULL判断须单独处理为IS NULL。
WHERE条件为空时不要加空字符串
PHP动态拼接SQL的常见错误是:当某个参数没传,就直接拼上 AND field = '' 或 AND field IS NULL,结果查不到数据甚至报错。实际应跳过整个条件,而不是用空值占位。
正确做法是把每个条件判断封装成独立逻辑,只在满足业务条件时才追加到 $whereParts 数组里:
$whereParts = [];
if (!empty($params['status'])) {
$whereParts[] = "status = ?";
}
if (isset($params['created_after'])) {
$whereParts[] = "created_at > ?";
}
$whereSql = !empty($whereParts) ? 'WHERE ' . implode(' AND ', $whereParts) : '';用PDO预处理避免SQL注入,别用字符串拼接字段名
用户输入的字段名(如排序字段、搜索字段)不能直接进SQL,否则极易被注入。值可以用 ? 占位,但字段名、表名、ORDER BY 子句必须白名单校验。
- 允许的字段列表写死:
$allowedFields = ['title', 'status', 'created_at']; - 用
in_array($sortField, $allowedFields, true)判断后再拼ORDER BY $sortField - WHERE 中的值一律走
PDO::prepare()+execute()传参,不拼字符串
多个IN条件要动态生成占位符
比如查一组ID:$ids = [1, 5, 9],不能写成 "id IN (?) 然后传整个数组——PDO不认。得按数量生成对应个数的 ?。
立即学习“PHP免费学习笔记(深入)”;
实操写法:
$ids = [1, 5, 9];
$placeholders = str_repeat('?,', count($ids) - 1) . '?';
$whereParts[] = "id IN ($placeholders)";
$paramsForExecute = array_merge($paramsForExecute, $ids);注意:占位符数量必须和 $ids 元素数严格一致,少一个或多个都会导致绑定失败或查错数据。
NULL判断要单独处理,IS NULL不能用= ?代替
SQL里 = NULL 永远为 false,必须用 IS NULL。但预处理不支持把 IS NULL 当作参数绑定,所以得拆逻辑:
- 如果参数是
null(PHP null),生成field IS NULL - 如果是字符串
'null'或数字,才走field = ? - 别写成
field = ? OR field IS NULL这种兜底,会拖慢查询且语义混乱
容易忽略的是:前端传 undefined 或空字符串时,PHP可能转成 '' 而非 null,得先用 filter_var($v, FILTER_NULL_ON_EMPTY) 或显式判断。
