HTTP経由のデータベースへの自由形式のクエリ

Question

私はいくつかのデータベーステーブルにRESTインタフェースを提供することに取り組んでいます。 私はクライアントに動的な方法でデータをフェッチする方法を提供したいと思います。例：

/顧客/ 1234？アクティブ=真&性別= M &富> 100000 & ...

だから、アイデアは、クエリ文字列にできるだけ自由な形を持つことです。 データベースアクセスのために、私はすべてのクエリパラメータを集めてSQL where句に追加し、レスポンスを返します。

ここで重要な問題がある場合は、私がセキュリティに関しておそらく不足している可能性があるかどうかはわかりません。

これは良い考えですか？はいの場合、そのような実装について知っていますか、それを私に指摘できますか？

Answer 1

ここで重要な問題があるかどうかわかりませんが、おそらくセキュリティに関しては が不足している可能性があります。

1つの重要な問題は、ffrom SQLインジェクションを防ぐことです。短く読むことhere。

Answer 2

良いアイデアは、データベースがどのような種類の情報を保持しているかによってまったく異なります。ユーザーアカウント：no/Pizzaパーラー：yes

次のようにあなたは、PHPでそれを行うことができます。

Foreach ($_GET as $key => $value) { 
$clauses[] = $key.' = "'.$value.'"'; 
} 

$query = mysql_query('select * from pizza_parlors where '.explode(' and ',$clauses); 

をしかし、私は任意の注入方法を制限するために、承認された検索パラメータを配列になるだろう。