システムタイムスタンプ付きネストされたSQLクエリ

Question

私はカーシェアリングベンチャーのためのWebアプリケーションとバックエンドDBを作成しています。現時点で予約されていない車の検索結果のみが表示されるようにしたい。私は以下の質問をタイプアップしましたが、それが正しいかどうかわかりません。私は予約と車という2つの関係を使用しています。

Reservations(R_No, M_ID, VIN, A_Code, start_time, end_time) 
Cars(VIN, make, model, year, P_address, r_fee) 

これは有効なクエリですか？そうでない場合、それは何を有効にするでしょうか？

$sql = "SELECT make, model, year, P_address, r_fee, VIN 
        FROM `Cars`, `Reservations` 
        WHERE (
          (make LIKE %'$search'%) or 
          (model LIKE %'$search'%) or 
          (year LIKE %'$search'%) or 
          (P_address LIKE %'$search'%) or 
          (r_fee LIKE %'$search'%) and 
      (Cars.VIN != Reservations.VIN) 
     AND (
      SELECT start_time, end_time 
      FROM Reservations 
      WHERE end_time <= SYSDATETIME() <= start_time));" 

Answer 1

これは、パラメータ化されたクエリを使用するように変更する必要があり、SQLインジェクションの対象となります。

$sql = "SELECT c.`make`, c.`model`, c.`year`, c.`P_address`, c.`r_fee`, c.`VIN` 
    FROM `Cars` c 
    LEFT JOIN `Reservations` r 
    ON c.`VIN` = r.`VIN` AND TIMESTAMP BETWEEN r.`end_time` AND r.`start_time` 
    WHERE (
      (c.`make` LIKE '%$search%') or 
      (c.`model` LIKE '%$search%') or 
      (c.`year` LIKE '%$search%') or 
      (c.`P_address` LIKE '%$search%') or 
      (c.`r_fee` LIKE '%$search%') 
     ) 
     AND r.`id` IS NULL;"; 

これは、現在予約を持っていない車のリストを返します。しかし、あなたは本当に始まりと終わりの時間を 期間に延長したいので、すぐに始まる予約を持っている車を手に入れることはできません。