Requête paramétrée avec plusieurs termes de recherche optionnels

Question

J'ai une application web avec beaucoup de données, et une fonction de recherche/filtrage avec plusieurs champs, tels que le nom, l'état, la date, etc. J'utilise des requêtes paramétrées comme celui-ci pour les requêtes régulières (non recherche):

$id = $_POST['itemID']; 
$db = mysqli_connect($host, $username, $password, $database); 
$sql_query = "SELECT * FROM tbl_data WHERE ID = ?"; 
$stmt_query = mysqli_prepare($db, $sql_query); 
mysqli_stmt_bind_params($stmt_query, "i", $id); 
mysqli_stmt_execute($stmt_query); 

//and so on.. 

Comment puis-je protéger SQL-injection de agains avec plusieurs paramètres, en option? Il peut y avoir jusqu'à 10 paramètres distincts qui peuvent ou ne peuvent pas être définis.

Modifier que la question ne semble pas claire:

Mon exemple était avec un paramètre, ce qui est en option. Je sais que cela protège contre sql-injection. Comment est-ce que je ferais ceci avec 10 paramètres, où un ou plusieurs pourraient être placés en même temps? Par exemple. une requête comme celle-ci:

SELECT * FROM tbl_data 
WHERE NAME = ? 
AND STATUS = ? 
AND DATE = ? 
AND PARAM4 = ? 
AND PARAM5 = ? 

où l'utilisateur veut uniquement rechercher le nom et la date. Comment ferais-je la liaison? Ce n'est pas une bonne idée de vérifier chacune des 100 combinaisons possibles de termes de recherche.

Answer 1

Vous êtes déjà protégé contre l'injection SQL, car vous utilisez mysqli_stmt_bind_params qui vous échappera correctement.

Modifier. Vous pouvez passer à un cadre de base de données pour avoir un code propre et beau.

Sinon ... c'est si vieux style spaghetti ... mais je l'aime: D

Il est assez facile d'élargir votre code pour travailler avec un nombre inconnu de paramètres. Vous devriez simplement boucler vos paramètres et en même temps 1. construire votre chaîne de requête avec la notation de point d'interrogation, et ajouter vos paramètres à un tableau, que vous passerez à maxdb_stmt_bind_param (ressource $ stmt, string $ types, tableau & $ var).

Donc, cela ressemblerait à ceci. Il suppose qu'au moins un paramètre existe (mais c'est trivial pour éviter cela).

$sql = "SELECT * FROM tbl_data WHERE "; 
$and = ''; 
$types = ''; 
$parameters = array(); 
foreach($_POST as $k => $v) { 
    // check that $k is on your whitelist, if not, skip to the next item 
    $sql .= "$and $k = ?"; 
    $and = " AND "; 
    $parameters[] = $v; 
    $types .= 's'; 
} 
$stmt_query = mysqli_prepare($db, $sql); 
mysqli_stmt_bind_params($stmt_query, $types, $parameters); 

Answer 2

Je recommande de passer à PDO. Il est construit en PHP comme l'extension mysqli, mais a une syntaxe plus propre et vous permet de transmettre vos valeurs de paramètres sous la forme d'un tableau, que vous pouvez facilement construire dynamiquement avec autant d'éléments que nécessaire.