无PDO的安全方法:

$ids = array_filter(array_unique(array_map('intval', (array)$ids)));

if ($ids) {
    $query = 'SELECT * FROM `galleries` WHERE `id` IN ('.implode(',', $ids).');';
}

将$ids变量强制转换为数组 将所有数组值转换为整数 移除重复的值 删除零值 内爆连接所有值到IN选择

Col. Shrapnel的SafeMySQL PHP库在其参数化查询中提供了类型提示占位符，并包括了两个用于处理数组的方便占位符。?a占位符将数组展开为逗号分隔的转义字符串列表*。

例如:

$someArray = [1, 2, 5];
$galleries = $db->getAll("SELECT * FROM galleries WHERE id IN (?a)", $someArray);

*请注意，由于MySQL执行自动类型强制，SafeMySQL将上面的id转换为字符串并不重要-您仍然会得到正确的结果。

Use:

select id from galleries where id in (1, 2, 5);

一个简单的for每个循环将工作。

Flavius/AvatarKava的方法更好，但要确保数组值中没有逗号。

我们应该注意SQL注入漏洞和空条件。我将按以下方式处理这两个问题。

对于纯数值数组，在每个元素上使用适当的类型转换，即intval或floatval或doubleval。对于字符串类型mysqli_real_escape_string()，如果您愿意，也可以应用于数值。MySQL允许数字和日期变量作为字符串。

为了在传递到查询之前适当地转义值，创建一个类似于以下的函数:

function escape($string)
{
    // Assuming $db is a link identifier returned by mysqli_connect() or mysqli_init()
    return mysqli_real_escape_string($db, $string);
}

这样的函数很可能在您的应用程序中已经可用，或者您已经创建了一个。

净化字符串数组，如下所示:

$values = array_map('escape', $gallaries);

数值数组可以使用intval或floatval或doubleval来进行清理:

$values = array_map('intval', $gallaries);

最后构建查询条件

$where  = count($values) ? "`id` = '" . implode("' OR `id` = '", $values) . "'" : 0;

or

$where  = count($values) ? "`id` IN ('" . implode("', '", $values) . "')" : 0;

因为数组有时也可以是空的，比如$galleries = array();因此，我们应该注意IN()不允许空列表。也可以用OR代替，但问题仍然存在。因此，上面的检查count($values)是为了确保相同。

并将其添加到最后的查询:

$query  = 'SELECT * FROM `galleries` WHERE ' . $where;

提示:如果你想在一个空数组的情况下显示所有记录(不过滤)，而不是隐藏所有行，只需在三元的false部分将0替换为1。

你可能有表文本(T_ID (int)， T_TEXT (text))和表测试(id (int)， var (varchar(255)))

insert into test values (1， '1,2,3');下面将从T_ID IN(1,2,3)的表文本中输出行:

SELECT * FROM `texts` WHERE (SELECT FIND_IN_SET( T_ID, ( SELECT var FROM test WHERE id =1 ) ) AS tm) >0

这样，您就可以管理一个简单的n2m数据库关系，而不需要额外的表，并且只使用SQL，而不需要使用PHP或其他编程语言。

所有交易所:

$query = "SELECT * FROM `$table` WHERE `$column` IN(".implode(',',$array).")";

字符串:

$query = "SELECT * FROM `$table` WHERE `$column` IN('".implode("','",$array)."')";