PHP数据库查询生成器

SQL查询语句

SELECT
  `id`,
  `username`,
  `email`,
  `last_login`,
  `role`
FROM `users`
WHERE
  `role` IN (:role_0, :role_1 /* ... 动态展开，至少一个占位符 */)
  AND `is_verified` = 1
  AND `status` = 'active'
  AND `last_login` >= :since
  -- 可选条件：当提供关键字 :kw 时，追加下一行（注意在PHP中动态拼接）
  -- AND `username` LIKE CONCAT('%', :kw, '%') ESCAPE '\'
ORDER BY `last_login` DESC, `id` DESC
LIMIT 50;

语句说明

• 查询目的：获取已验证且处于激活状态的用户列表，筛选指定角色集合中、最近登录时间不早于 since 的用户；可选按用户名模糊匹配；按登录时间和ID倒序返回最多50条。
• 字段解释：
  • id：用户主键ID
  • username：用户名
  • email：邮箱
  • last_login：最后登录时间（建议为DATETIME/TIMESTAMP）
  • role：用户角色
• 条件分析：
  • role IN (...)：仅返回属于给定角色集合的用户。使用命名占位符动态展开，确保参数化，防止注入。
  • is_verified = 1：只包含已完成验证的用户。
  • status = 'active'：只包含激活状态的用户。
  • last_login >= :since：仅包含最近登录不早于 since 的用户。
  • 可选 username LIKE：当提供关键字时，进行包含式模糊匹配。使用 ESCAPE '' 并对关键字中的通配符进行转义，避免意外匹配扩大。

使用建议

• PHP集成代码示例（PDO，命名参数绑定，安全地动态构建 IN 占位符与可选关键字）：

<?php
$pdo = new PDO(
    'mysql:host=127.0.0.1;dbname=app;charset=utf8mb4',
    $user,
    $pass,
    [
        PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
        PDO::ATTR_EMULATE_PREPARES => false, // 使用服务器端预处理
        PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
    ]
);

// 输入参数（示例）
$roles = ['admin', 'editor'];      // 非空数组，建议来源于白名单
$since = '2024-01-01 00:00:00';    // 或使用 (new DateTimeImmutable('...'))->format('Y-m-d H:i:s');
$kw    = null;                     // 可选：当为空字符串或null时不启用模糊匹配

if (empty($roles)) {
    // 角色集合为空时，无匹配结果，避免构造非法 IN ()
    echo json_encode([]);
    exit;
}

// 动态构建 IN 占位符
$rolePlaceholders = [];
$params = [':since' => $since];

foreach (array_values($roles) as $i => $role) {
    $ph = ":role_$i";
    $rolePlaceholders[] = $ph;
    $params[$ph] = $role; // 字符串角色
}

// 基础SQL
$sql = "
SELECT
  `id`,
  `username`,
  `email`,
  `last_login`,
  `role`
FROM `users`
WHERE
  `role` IN (" . implode(',', $rolePlaceholders) . ")
  AND `is_verified` = 1
  AND `status` = 'active'
  AND `last_login` >= :since
";

// 可选关键字过滤
if ($kw !== null && $kw !== '') {
    $kw = escape_like($kw);
    $sql .= " AND `username` LIKE CONCAT('%', :kw, '%') ESCAPE '\\\\'";
    $params[':kw'] = $kw;
}

$sql .= " ORDER BY `last_login` DESC, `id` DESC LIMIT 50";

$stmt = $pdo->prepare($sql);
$stmt->execute($params);
$rows = $stmt->fetchAll();

echo json_encode($rows, JSON_UNESCAPED_UNICODE);

/**
 * 转义 LIKE 关键字中的通配符与反斜杠，以配合 ESCAPE '\'
 */
function escape_like(string $s): string {
    // 转义顺序很重要：先反斜杠，再百分号与下划线
    $s = str_replace('\\', '\\\\', $s);
    $s = str_replace('%',  '\\%',  $s);
    $s = str_replace('_',  '\\_',  $s);
    return $s;
}

• 安全注意事项：
  • 严格使用命名参数绑定，不拼接用户输入到SQL字符串中。
  • 角色集合 roles 应来自系统内的白名单（例如 ['admin','editor','viewer']），拒绝未知角色值。
  • 对 LIKE 搜索关键字进行通配符转义，并使用 ESCAPE 子句，防止“模式注入”导致范围扩大。
  • 设置 PDO::ATTR_EMULATE_PREPARES=false，确保真正的服务器端预处理（MySQL 8+）。
  • 使用 utf8mb4 字符集，避免字符截断和编码问题。
• 性能优化提示：
  • 为过滤与排序设计联合索引（示例，按本查询模式与排序方向）：
    • CREATE INDEX idx_users_status_verified_role_lastlogin_id ON users (status, is_verified, role, last_login, id);
    • 该索引有利于等值条件（status, is_verified, role）与范围/排序（last_login, id）的组合。
  • 对包含式模糊匹配 '%kw%'，普通B-Tree索引难以利用。数据量大且搜索频繁时，考虑：
    • 建立 FULLTEXT(username) 并使用 MATCH ... AGAINST 进行全文搜索（MySQL 8.0+，适合英文或分词友好的语言）。
    • 或外部检索服务（如 Elasticsearch）。
  • 确保 last_login 列上没有函数操作（例如不对列做函数包裹），保留索引可用性。
  • 使用 EXPLAIN 检查执行计划，确认使用了预期索引；必要时增加 ANALYZE FORMAT=JSON 获取更详细诊断。

注意事项

• 数据库连接配置要求：
  • DSN 应包含 charset=utf8mb4；服务器端建议设置 collation 至 utf8mb4_0900_ai_ci（MySQL 8.0）以获得一致排序/比较行为。
  • 建议统一应用与数据库使用 UTC 时间，避免时区差异影响 last_login 比较。
• 参数绑定的重要性：
  • IN 子句必须动态展开为多个命名占位符（:role_0, :role_1, ...），MySQL/PDO 不支持直接绑定数组至单一 :roles 占位符。
  • 确保 roles 非空；为空时应短路返回或改为 WHERE 1=0，避免生成非法 SQL。
  • :since 建议传入“YYYY-MM-DD HH:MM:SS”格式字符串（与列类型一致）。
• 错误处理建议：
  • 启用 PDO::ERRMODE_EXCEPTION 并使用 try/catch 捕获异常；对外返回通用错误信息，详细错误写入安全日志。
  • 对查询结果进行大小限制（本查询 LIMIT 50），防止一次性拉取过多数据。
  • 在高并发场景下，监控慢查询日志，适时调整索引或增加覆盖字段。

SQL查询语句

SELECT
  payment_method,
  COUNT(*) AS order_count,
  SUM(total_amount) AS total_amount
FROM
  orders
WHERE
  status = 'paid'
  AND paid_at BETWEEN :start AND :end
  AND merchant_id = :merchant_id
GROUP BY
  payment_method
ORDER BY
  total_amount DESC,
  order_count DESC
LIMIT 10;

语句说明

• 查询目的：

  • 统计指定商户在给定时间范围内已付款订单，按支付方式汇总订单数量与成交总额，并按成交总额与订单数降序取前10个支付方式。

• 字段解释：

  • payment_method：支付方式标识（如 wechat, alipay, credit_card 等），用于分组。
  • order_count：该支付方式下的已付款订单数量。
  • total_amount：该支付方式下的已付款订单总金额之和。

• 条件分析：

  • status = 'paid'：仅统计已付款订单，避免包含未支付/已取消等状态。
  • paid_at BETWEEN :start AND :end：限制统计时间范围（包含边界）。如需“左闭右开”区间可改为 paid_at >= :start AND paid_at < :end。
  • merchant_id = :merchant_id：限定商户范围。
  • GROUP BY payment_method：按支付方式聚合。
  • ORDER BY total_amount DESC, order_count DESC：先按总金额降序，再按订单数降序进行排序。
  • LIMIT 10：仅返回前10个支付方式汇总结果。

使用建议

• PHP集成代码示例

  <?php
  // 假设使用 PDO 且已正确配置错误模式与字符集
  $sql = "
    SELECT
      payment_method,
      COUNT(*) AS order_count,
      SUM(total_amount) AS total_amount
    FROM
      orders
    WHERE
      status = 'paid'
      AND paid_at BETWEEN :start AND :end
      AND merchant_id = :merchant_id
    GROUP BY
      payment_method
    ORDER BY
      total_amount DESC,
      order_count DESC
    LIMIT 10;
  ";
  
  $stmt = $pdo->prepare($sql);
  
  // 推荐使用 UTC 时间并传入符合数据库列类型的格式，例如 'Y-m-d H:i:s'
  $params = [
    ':start' => $startDateTimeUTC,     // e.g. '2025-01-01 00:00:00'
    ':end' => $endDateTimeUTC,         // e.g. '2025-01-31 23:59:59'
    ':merchant_id' => (int)$merchantId // 确保类型正确
  ];
  
  $stmt->execute($params);
  $rows = $stmt->fetchAll(PDO::FETCH_ASSOC);
  
  // $rows 形如：[ ['payment_method'=>'alipay','order_count'=>123,'total_amount'=>'4567.89'], ... ]
  

• 安全注意事项

  • 使用 PDO 预处理+命名参数绑定，严禁字符串拼接参数，防止SQL注入。
  • 校验并规范化输入：
    • merchant_id 应为整数且通过白名单/类型转换处理。
    • :start 与 :end 应为合法的日期时间字符串；建议统一为 UTC。
  • 不要将 LIMIT 的值作为用户可控参数直接拼接；本查询中 LIMIT 为固定字面量 10。

• 性能优化提示

  • 索引建议（根据查询模式与数据分布调整）：
    • 复合索引：(merchant_id, status, paid_at, payment_method)
      • 前缀 (merchant_id, status, paid_at) 高选择性过滤时间窗口内的目标商户与已付款订单；
      • 追加 payment_method 有助于分组阶段的扫描有序性，减少额外排序代价。
    • 如果 total_amount 为常用聚合字段且读多写少，可考虑将 total_amount 置于上述索引的末尾，使其尽可能成为覆盖索引：(merchant_id, status, paid_at, payment_method, total_amount)。注意索引体积权衡。
  • 时间区间过滤：
    • 若统计按日/按月，优先采用左闭右开区间：paid_at >= :start AND paid_at < :end，避免“整日末秒”的边界问题，并利于使用范围条件。
  • 执行计划验证：
    • 使用 EXPLAIN 查看是否命中合适的复合索引、避免全表扫描与大范围回表。
  • 大数据量优化思路：
    • 对 orders 按时间或 merchant_id 进行分区可减少扫描范围（需评估写入与维护成本）。
    • 高频统计可考虑物化汇总表（按日/按支付方式聚合），定时增量维护以加速查询。

注意事项

• 数据库连接配置要求

  • 使用 utf8mb4 编码。
  • 设置合适的时区策略：建议数据库存 UTC，应用层负责时区转换；或在 SQL 中使用 CONVERT_TZ 明确转换（会影响索引利用，谨慎使用）。
  • 开启 PDO::ATTR_ERRMODE = PDO::ERRMODE_EXCEPTION，便于错误捕获。

• 参数绑定的重要性

  • 始终使用命名参数绑定 (:start, :end, :merchant_id)，避免字符串拼接。
  • 确保绑定的类型与列类型一致：merchant_id 为整数；时间为 DATETIME/TIMESTAMP 格式字符串。

• 错误处理建议

  • 对时间范围做基本校验（:start <= :end），并在无结果时返回空数组而非报错。
  • 记录慢查询日志（slow query log），针对超时或扫描行数过多的情况进行索引或查询改写优化。
  • 在只读统计场景可使用从库分担查询压力，但注意主从延迟对实时性的影响。