PHP配列をSQL IN演算子で使用するにはどうすればいいですか? [重複] 質問する

Question

単純な整数なので、単純にコンマで結合できます。

$sql = "SELECT * FROM table WHERE comp_id IN (" . implode(',', $arr) . ")";

文字列、特に信頼できない入力を扱う場合:

$sql = "SELECT * FROM table WHERE comp_id IN ('" 
     . implode("','", array_map('mysql_real_escape_string', $arr)) 
     . "')";

NULLこれは（空の文字列として保存されます）などの値には対応しておらず、数値の周囲に盲目的に引用符を追加します。これは、厳密なMySQLモード。

mysql_real_escape_stringは、オリジナルの mysql ドライバー拡張からの関数です。mysqli などの新しいドライバーを使用する場合は、mysqli_real_escape_string代わりにを使用します。

ただし、信頼できない数値のみを扱いたい場合は、intvalまたはを使用してfloatval入力をサニタイズすることができます。

$sql = "SELECT * FROM table WHERE comp_id IN (" . implode(",", array_map('intval', $arr)) . ")";

Answer 1

単純な整数なので、単純にコンマで結合できます。

$sql = "SELECT * FROM table WHERE comp_id IN (" . implode(',', $arr) . ")";

文字列、特に信頼できない入力を扱う場合:

$sql = "SELECT * FROM table WHERE comp_id IN ('" 
     . implode("','", array_map('mysql_real_escape_string', $arr)) 
     . "')";

NULLこれは（空の文字列として保存されます）などの値には対応しておらず、数値の周囲に盲目的に引用符を追加します。これは、厳密なMySQLモード。

mysql_real_escape_stringは、オリジナルの mysql ドライバー拡張からの関数です。mysqli などの新しいドライバーを使用する場合は、mysqli_real_escape_string代わりにを使用します。

ただし、信頼できない数値のみを扱いたい場合は、intvalまたはを使用してfloatval入力をサニタイズすることができます。

$sql = "SELECT * FROM table WHERE comp_id IN (" . implode(",", array_map('intval', $arr)) . ")";

おすすめ記事