html形式からのNULLを使用したTSQLクエリの入力

Question

私はいくつかのセレクタを含むフォームを持つhtmlページを持っています。

フォームは、jquery ajaxを使用してデータをPHPページに送信するjs関数を介してGETによって処理されます。 phpは、情報を選択するためのTSQLクエリを作成します。

セレクタでオプションを選択しない場合は、クエリにNULLが必要です。 私が試したのJSとphpのページで両方：

if($variableFromSelector1 ==’-’){ $variableFromSelector1 =’NULL’;} 
if($variableFromSelector2 ==’-’){ $variableFromSelector2 =’NULL’;} 

（ - セレクタで選択された何を意味する）

しかし、これは同じではない「NULL」でクエリを埋め

function showData($variableFromSelector1,$variableFromSelector2) 
    { 

      $strSqlSelect = "EXECUTE mybd.dbo.myprocedure 
      @var1='".$variableFromSelector1."', 
      @var2='".$variableFromSelector2."'"; 
    } 

がどのように私は何のオプションは、セレクタで選択されていない場合はNULLでクエリを取得することができます：ここではNULL

は、クエリがどのようになるのか？

どうもありがとう

Answer 1

if($variableFromSelector1 ==’-’){ $variableFromSelector1 = NULL;} 
if($variableFromSelector2 ==’-’){ $variableFromSelector2 = NULL;} 

function showData($variableFromSelector1,$variableFromSelector2) 
{ 
    $var1 = is_null($variableFromSelector1) ? 'NULL' : "'{$variableFromSelector1}'"; 
    $var2 = is_null($variableFromSelector2) ? 'NULL' : "'{$variableFromSelector2}'"; 

    $strSqlSelect = "EXECUTE mybd.dbo.myprocedure 
    @var1=".$var1.", 
    @var2=".$var2; 
} 

また、SQLインジェクションから保護するためにすべての入力をサニタイズすることを忘れないでください。

Answer 2

あなたのストアドプロシージャにそれを送信するときは、NULLを引用しています。次のことを試してみてください。

$strSqlSelect = "EXECUTE mybd.dbo.myprocedure 
@var1=" . ($variableFromSelector1 == '-' ? 'NULL' : "'{variableFromSelector1}'" . ", 
@var2=" . ($variableFromSelector2 == '-' ? 'NULL' : "'{variableFromSelector2}'" . ";