本文详解如何安全地从mysql数据库查询并导出当前登录用户的专属数据(如工单记录)到excel,涵盖sql条件过滤、会话变量校验、防sql注入及基础excel生成方法。
在php中将数据库查询结果导出为Excel文件,关键在于精准筛选用户数据与保障代码安全性。你遇到的问题——WHERE UserName = ‘”.$_session[‘useruid’].”‘ 无法返回预期结果,通常源于字段名与会话变量名不匹配或类型不一致。
✅ 正确做法:确认字段与会话键名一致
首先,请检查以下三点:
- 数据库表 tickets_list 中用于标识用户的字段名是 UserName、username 还是 user_id?
- 当前登录用户信息存入 $_SESSION 时使用的键名是 ‘username’、’useruid’ 还是 ‘uid’?
- 若数据库中存储的是用户名(如 john_doe),则应使用 $_SESSION[‘username’];若存储的是用户ID(如 123),而字段名为 user_id,则需改为:
$query = "SELECT * FROM tickets_list WHERE user_id = ?"; // 推荐使用预处理 $stmt = mysqli_prepare($conn, $query); mysqli_stmt_bind_param($stmt, "i", $_SESSION['useruid']); mysqli_stmt_execute($stmt); $result = mysqli_stmt_get_result($stmt);⚠️ 注意:直接拼接 $_SESSION 变量(如 “WHERE UserName = ‘”.$_SESSION[‘useruid’].”‘”)存在严重sql注入风险,务必避免。
✅ 安全导出Excel(csv格式示例)
PHP原生导出Excel最轻量、兼容性最好的方式是生成 .csv 文件(Excel可直接打开):
// 1. 设置响应头,触发下载 header('Content-Type: text/csv; charset=utf-8'); header('Content-Disposition: attachment; filename="my_tickets_' . date('Y-m-d') . '.csv"'); // 2. 打开输出缓冲区作为文件句柄 $output = fopen('php://output', 'w'); // 3. 写入表头(根据实际字段调整) fputcsv($output, ['ID', 'Title', 'Status', 'Created At', 'Priority']); // 4. 执行安全查询(推荐预处理) $query = "SELECT id, title, status, created_at, priority FROM tickets_list WHERE username = ?"; $stmt = mysqli_prepare($conn, $query); mysqli_stmt_bind_param($stmt, "s", $_SESSION['username']); // 假设用 username 字段 & session 键 mysqli_stmt_execute($stmt); $result = mysqli_stmt_get_result($stmt); // 5. 写入每行数据 while ($row = mysqli_fetch_assoc($result)) { fputcsv($output, $row); } fclose($output); exit;? 重要注意事项
- ✅ 始终验证会话状态:导出前添加 if (!isset($_SESSION[‘username’])) { die(‘Not logged in’); }
- ✅ 字段名大小写敏感:MySQL在linux下对列名区分大小写,请用 DESCRIBE tickets_list 确认真实字段名。
- ✅ 字符编码统一:CSV中含中文时,务必在 header() 中声明 charset=utf-8,并在首行写入bom(可选):
fwrite($output, "xEFxBBxBF"); // UTF-8 BOM for Excel compatibility - ❌ 避免 mysql_* 函数(已废弃)和字符串拼接SQL。
✅ 进阶建议
如需生成真正的 .xlsx 文件(支持样式、多Sheet等),推荐使用开源库 PhpSpreadsheet:
立即学习“PHP免费学习笔记(深入)”;
composer require phpoffice/phpspreadsheet然后用 setCellValue() 逐单元格写入,兼顾安全与专业性。
掌握以上方法,你就能稳定、安全地为每位登录用户导出其专属数据,并杜绝越权导出风险。