使用 PHP7+PDO+SQLite，我正在寻找一种方法来使用在前端生成的数组形式的用户定义过滤器来过滤表中的条目。为清楚起见，这是我正在寻找的示例：

例子：

数据库中的表：

 ID             Firstname      Lastname       Age

+--------------+--------------+--------------+-------------+

| 0            | John         | Doe          | 21          |

| 1            | John         | Smith        | 35          |

| 2            | Alice        | Smith        | 35          |

| 3            | Bob          | Smith        | 40          |

+--------------+--------------+--------------+-------------+

过滤器：

/*

Filters follow the structure:

[

    "Table Column Name 1" => [Match1 OR Match2 OR ...],

    AND

    "TCN 2" ...

]

Any column name not provided should match any value.

*/

[

    "Firstname" => ["John"]

]

// ^ fetchAll() returns rows with ID 0 and 1

[

    "Firstname" => ["John", "Alice"],

    "Lastname" => ["Smith"]

]

// ^ ID 1 and 2 (but not 3)

我需要找到一个可以将上面的数组转换为 SQL 查询的函数，以获取与过滤器匹配的所有行。出于性能原因，我想使用 SQL（我没有太多经验）而不是获取所有行并使用 PHP 过滤它们来执行此操作。

我知道我可以按照以下方式做一些事情：

// Untested - for illustration purposes only

$filter = [

    "Firstname" => ["John", "Alice"],

    "Lastname" => ["Smith"]

];

$sql = "SELECT * FROM table_name WHERE ";

foreach ($filter as $column => $matching_values) {

    foreach ($matching_values as $match) {

        $sql .= $column . " == " . $match . " OR ";

    }

    // Ugly way of removing trailing ` OR `

    $sql = substr($sql, 0, -4);

    $sql .= " AND ";

}

// Ugly way of removing trailing ` AND `

$sql = substr($sql, 0, -5);

echo $sql;

但这引入了一个巨大的 SQL 注入安全漏洞。我想知道是否有一种简单而有效且安全的方法来实现这一目标。如果需要，也可以更改过滤器的格式，例如更改为 RegEx（如果有人可以用 RegEx 替换上面示例中最里面的数组，则加分）。

或者（或另外），一种以可搜索的方式描述我的问题的简单方法可能会有所帮助，因为我无法对此进行太多研究，因为我无法很好地表达它。