我想根据网址字符串选择一些id,但使用我的代码,它只显示第一个。如果我写手动 id,它工作得很好。
我有一个这样的网址 http://www.mydomain.com/myfile.php?theurl=1,2,3,4,5(ids)
现在在myfile中.php我有我的sql连接,并且:
$ids = $_GET['theurl']; (and i am getting 1,2,3,4,5)
如果我使用这个:
$sql = "select * from info WHERE `id` IN (1,2,3,4,5)";
$slqtwo = mysql_query($sql);
while ($tc = mysql_fetch_assoc($slqtwo)) {
echo $tc['a_name'];
echo " - ";
}
我得到了正确的结果。现在,如果我使用下面的代码,它不起作用:
$sql = "select * from info WHERE `id` IN ('$ids')";
$slqtwo = mysql_query($sql);
while ($tc = mysql_fetch_assoc($slqtwo)) {
echo $tc['a_name'];
echo " - ";
}
有什么建议吗?
当你插值时
"select * from info WHERE `id` IN ('$ids')"
使用您的 ID,您可以获得:
"select * from info WHERE `id` IN ('1,2,3,4,5')"
。这会将您的 ID 集视为单个字符串而不是一组整数。
去掉IN子句中的单引号,像这样:
"select * from info WHERE `id` IN ($ids)"
另外,不要忘记您需要检查SQL注入攻击。您的代码目前非常危险,并且存在严重数据丢失或访问的风险。考虑一下如果有人使用以下 URL 调用您的网页,并且您的代码允许他们在单个查询中执行多个语句,会发生什么情况:
http://www.example.com/myfile.php?theurl=1);delete from info;--
你也可以
试试FIND_IN_SET()函数
$SQL = "select * from info WHERE FIND_IN_SET(`id`, '$ids')"
或
$SQL = "select * from info WHERE `id` IN ($ids)"