Выборка из POST массива через запятую?

Question

[SARCASM74]

Доброй ночи, помогите пожалуйста решить одну задачу.

Есть форма с одним полем, нужно отправляя post запрос сделать выборку по указанным данным в форме. В поле вписывается логины через запятую и пробел.

Пример логинов: MarkBoSS, strike_noob, Жорка, vitXa

Пробовал вот так ничего не получается(

$arr = $_POST['logins']?? '';
$escaped_nk = array_map(function( $e ) {
  global $db;
             return mysqli_real_escape_string($db, $e);
    }, $arr );

$query = "SELECT * FROM `users` WHERE `login` IN(".implode(',  ', $escaped_nk).")";

Comments

[Dmitry Bay]

$arr = $_POST['logins']?? '';
        $links = explode(',', $arr);
        foreach ($links as $link) {
            $out[] = trim($link); // и другие обработки, можно так же в array_map все сделать
        }
        // ... далее ваш код через join(',', $out);

[Akina]

При небольшом количестве записей в таблице users используйте

$query = "SELECT * FROM users WHERE FIND_IN_SET(login, '".implode(',', $escaped_nk)."');";

[rPman]

закопайте пожалуйста mysqli
пользуйтесь PDO и параметрами запросов, никаких проблем с escape и атаками через параметры.

Строка запроса будет выглядеть
"SELECT * FROM `users` WHERE `login` IN (?,?,?)"
а вызов запроса
$stmt->execute($arr)

Answer 1

[Сергей delphinpro]

$query = "SELECT * FROM `users` WHERE `login` IN(".implode(',  ', $escaped_nk).")";
echo $query;

Если посмотрите какой запрос у вас формируется, то увидите ошибку синтаксиса в запросе – строковые литералы без кавычек.

SELECT * FROM `users` WHERE `login` IN(MarkBoSS, strike_noob, Жорка, vitXa)

А должно быть

SELECT * FROM `users` WHERE `login` IN('MarkBoSS', 'strike_noob', 'Жорка', 'vitXa')

$in = "'".implode("','", $array_logins)."'";
"SELECT * FROM `users` WHERE `login` IN($in)";

Comments

[Adamos]

С приветом от пользователя с логином '; DROP DATABASE; '
Вот на хрена учить малька плохому?
У прогера должен быть рвотный рефлекс на такие строчки, а у наставника - топорщиться ремень...

[Сергей delphinpro]

Adamos, он там эскейпит входные данные строчкой выше
Я лишь указал на суть проблемы, а не предоставил готовое решение.

[Adamos]

Сергей delphinpro, так и это уже давно моветон. Эскейп оставляет массу возможностей наступить себе на яйца, которые традиционно и успешно устраняются плейсхолдерами или подготовленными выражениями.
Я все-таки убежден, что от одного вида строчки запроса, в которую вставлена переменная, опытному пыхеру должно становиться неуютно. Во избежание.

[Сергей delphinpro]

Adamos, ну мне от вида символов "mysqli_" неуютно, что ж теперь..

[Сергей delphinpro]

Adamos, Поясню: я с ним очень мало работаю, и не помню, как там параметры биндятся. А лезть в документацию ради указания на простую ошибку не хочется. Пусть автор сам заботится о безопасности. В конце концов, у него проблема в формировании синтаксически корректного SQL запроса.

[Adamos]

Сергей delphinpro, в том и цимес, что использование предпочтительных методов походя устранило бы и эту проблему, именно из-за вклеивания переменных в запрос и возникшую. А вы ему - удобную насадку на костыль ;)

[Сергей delphinpro]

Adamos, ну в общем-то да