堆棧內存溢出
  簡體   English   中英

如何在zend字面內逃避事物?

[英]How to escape things within zend literal?

 原文  2017-02-13 17:47:07       php/ mysql/ search/ zend-framework/ zend-framework2

問題描述

我正在創建一個高級搜索,並想通過將它們添加到一個數組來循環我的查詢: 

private $searchFields = [
    'as_first_name'                  => 'users.first_name like "%VALUE%"',
    'as_last_name'                   => 'users.last_name like "%VALUE%"',
    'as_payment_history_invoice_num' => 'users.user_id = (SELECT user_id from payment_history where payment_history.invoice_number = "VALUE" LIMIT 1)',
    'as_building_num'                => 'property_units.building_number like "%VALUE%"',
    'as_residents_email'             => 'users.email like "%VALUE%"',
    'as_property_name'               => 'property.name like "%VALUE%"',
    'as_phone_num'                   => 'REPLACE(REPLACE(REPLACE(REPLACE(users.phone, " ", ""), "(", ""), ")", ""), "-", "") = "VALUE"',
    'as_unit_num'                    => 'property_units.unit_number = "VALUE"',
    'as_account_status'              => 'user_status.status_name = "VALUE"'
];

所以在搜索我做的事情... 

if (array_key_exists($key, $this->searchFields)) {

    $form->get($key)->setValue($val);
    $where->NEST->literal(str_replace('VALUE', urldecode($val), $this->searchFields[$key]))->UNNEST;
}

但問題是我沒有逃避任何事情。 不好。 我怎樣才能使用相同的結構,但也可以逃避。

2 個解決方案

解決方案1
 6 已采納  2017-02-16 08:34:11

Literal謂詞適用於沒有占位符的情況。 您應該使用Expression謂詞。 

private $searchFields = [
    'as_first_name'                  => 'users.first_name like "?"',
    'as_last_name'                   => 'users.last_name like "?"',
    'as_payment_history_invoice_num' => 'users.user_id = (SELECT user_id from payment_history where payment_history.invoice_number = "?" LIMIT 1)',
    'as_building_num'                => 'property_units.building_number like "?"',
    'as_residents_email'             => 'users.email like "?"',
    'as_property_name'               => 'property.name like "?"',
    'as_phone_num'                   => 'REPLACE(REPLACE(REPLACE(REPLACE(users.phone, " ", ""), "(", ""), ")", ""), "-", "") = "?"',
    'as_unit_num'                    => 'property_units.unit_number = "?"',
    'as_account_status'              => 'user_status.status_name = "?"'
];

zend-form值應該已經被解碼,因此不需要urldecode 

if (array_key_exists($key, $this->searchFields)) {

    $form->get($key)->setValue($val);
    $where->NEST->expression($this->searchFields[$key], $val)->UNNEST;
}

我很長一段時間沒有使用zend-db,請確保檢查此代碼實際上是否產生了您需要的查詢。

解決方案2
 0  2017-02-16 00:13:12

你不應該使用urldecode ; 它應該在你到達之前解碼。 聽起來NEST可能對這種情況太過花哨了。 

foreach (...)
{
    $val = ...;  // Get the raw value from the form field ($_POST[...] or whatever)
    $mval = addslashes($val);
    $sf = $this->searchFields[...];
    $msf = str_replace('VALUE', $mval, $sf);
    ... $msf ...
}

mysqli_real_escape_str會比addslashes更好,但你需要擁有mysql連接對象; 你有嗎?

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Zend Framework Navigation,轉義選項以查看標題中的html? Php on zend,如何為查詢轉義變量? 如何在 Zend 框架查詢中添加轉義 $ Zend DB select帶文字 如何在PHP 5.3上獲取pg_escape_literal? 如何查看 pg_escape_literal 的結果? 如何在Zend Framework中逃避復雜的SQL? 如何在SQL CONCAT中轉義#以在URL中定位 如何計算Zend Framework 2中的行數 在Zend-Framework中如何使用dompdf?
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM