php实现动态sql

PHP实现动态SQL的方法

动态SQL通常指根据条件动态生成SQL语句，以提高灵活性和复用性。PHP中可以通过多种方式实现。

字符串拼接方式

通过字符串拼接构建SQL语句，适用于简单场景：

$sql = "SELECT * FROM users WHERE 1=1";
if (!empty($name)) {
    $sql .= " AND name = '" . mysqli_real_escape_string($conn, $name) . "'";
}
if (!empty($age)) {
    $sql .= " AND age = " . intval($age);
}

使用预处理语句

PDO预处理可防止SQL注入，更安全：

$conditions = [];
$params = [];

if (!empty($name)) {
    $conditions[] = "name = :name";
    $params[':name'] = $name;
}
if (!empty($age)) {
    $conditions[] = "age = :age";
    $params[':age'] = $age;
}

$sql = "SELECT * FROM users";
if (!empty($conditions)) {
    $sql .= " WHERE " . implode(" AND ", $conditions);
}

$stmt = $pdo->prepare($sql);
$stmt->execute($params);

使用查询构建器

Laravel等框架提供的查询构建器：

$query = DB::table('users');
if (!empty($name)) {
    $query->where('name', $name);
}
if (!empty($age)) {
    $query->where('age', $age);
}
$results = $query->get();

使用ORM实现

Doctrine等ORM工具支持动态查询：

$qb = $entityManager->createQueryBuilder();
$qb->select('u')
   ->from('User', 'u');

if (!empty($name)) {
    $qb->andWhere('u.name = :name')
       ->setParameter('name', $name);
}
if (!empty($age)) {
    $qb->andWhere('u.age = :age')
       ->setParameter('age', $age);
}

$query = $qb->getQuery();
$users = $query->getResult();

安全注意事项

动态SQL需注意SQL注入风险：

• 始终对用户输入进行验证和过滤
• 使用预处理语句而非直接拼接
• 数值参数需类型转换
• 字符串参数需转义处理

以上方法可根据项目需求选择，预处理语句和ORM方式更推荐在生产环境中使用。