Как составить запрос к БД?

Question

[Оптимус Пьян]

Есть параметры поиска в GET для запроса к БД:
search.php?lic=0&section=1,2&type=1,2,3,4
Один из 3 параметров будет обязательно, но любых двух других может не быть. Как запрос к базе составить?

Например делаю так:

SELECT `id`
FROM `content`
WHERE lic='".$lic."' AND section='".$section."' AND type='".$type."'

Но если одна из переменных lic или section или type будет пустая запрос будет работать с пустым условием?

Comments

[FanatPHP]

За всеми переговорами и управлением проектами про SQL инъекции услышать так и не довелось? Понимаю. Непонятно только, почему управленец сам говнокод клепает, а не поручит кому-нибудь.

[Оптимус Пьян]

FanatPHP: Данные предварительно очищены уже (код очистки сюда не стал кидать по нему вопросов нет), вопрос по действию в случае отсутствия части данных?

[Remmi]

А как вы вставляете type=1,2,3,4 в запрос? Это перечисление нескольких типов или одна строка?

[FanatPHP]

Мальчик. SQL инъекции и "предварительная очистка" не имеют между собой ничего общего. Теперь понятно, почему ПДО показалась тебе слишком сложной.

[Оптимус Пьян]

FanatPHP: бля дебил тупорылый ну ты заёб флудить, ходишь по темам только, никому не помогаешь, только херню мелешь свою про то как крут PDO, да мы все поняли что у тебя больное ЧСВ, к счастью тут и нормальные люди есть

[FanatPHP]

дада. нормальный, который посоветовал тебе strip_tags делать :) Тут ты прав - кто на твоем уровне ниже плинтуса - тот для тебя "нормальный".

Answer 1

[Rsa97]

Чему равны переменные при их отсутствии в запросе? Если значение - пустая строка, то можно написать так:

$req = $mysqli->prepare(
    "SELECT `id` FROM `content` ".
        "WHERE ('' = ? OR `lic` = ?) ".
            "AND ('' = ? OR `selection` = ?) ".
            "AND ('' = ? OR `type` = ?)"
);
$req->bind_param('ssssss', $lic, $lic, $selection, $selection, $type, $type);

Comments

[Оптимус Пьян]

Да, спасибо, приблизительно так и сделал

Answer 2

[Алексей]

На место AND напишите OR и попробуйте.

Comments

[Оптимус Пьян]

Если будут переданы все 3 переменные в GET тогда у меня запрос будет А или Б или В а мне надо А и Б и В

[FanatPHP]

Вот интересно, что движет школотой, когда она берется писать ответ на тему, в которой она не понимает вообще ничего, даже отдельных слов?

Answer 3

[KOPC1886]

В дополнение к ответам выше, делайте не только проверку, но и функции intval - если ждете число, strip_tags. А лучше используйте PDO.

Comments

[Оптимус Пьян]

Спасибо, intval уже сделано всё это проверка, очистка как писал, да дошёл до склейки на лету

[FanatPHP]

В огороде бузина, а в киеве дядька. Казалось бы - какая связь между strip_tags PDO. Очередное школоло лезет отвечать на вопрос, в котором не смыслит ни бельмеса.

[FanatPHP]

Чувак, не позорься. Если из моего предыдущего комментария до тебя не дошло, что между PDO и strip_tags нет ни малейшей связи, то повторяю это ещё раз, открытым текстом: PDO и strip_tags вообще используются в совершенно разных местах, и никак не могут заменять друг друга.