PHP多条件复选框筛选数据库的正确方法

本文深入解析了PHP中实现多条件复选框（如角色类型与装备类型）联合筛选数据库的正确实践，直击初学者常遇的`foreach() argument must be of type array|object`错误根源——HTML命名不规范、PHP未校验数组类型及SQL逻辑脆弱，并通过语义化表单结构（`name="xxx[]"`）、健壮的空值与类型防护（`?? []` + `isset` + `empty`）、白名单值过滤、动态占位符拼接WHERE子句等关键步骤，构建出安全、可扩展且防SQL注入的筛选系统，同时兼顾mysqli简易实现与PDO预处理升级路径，助你轻松驾驭复杂前端交互与后端数据精准匹配。

本文详解如何用 PHP 安全、高效地处理多组复选框（如角色类型 + 装备类型）的联合筛选，避免 foreach() argument must be of type array|object 错误，并构建可扩展的 SQL 查询逻辑。

本文详解如何用 PHP 安全、高效地处理多组复选框（如角色类型 + 装备类型）的联合筛选，避免 `foreach() argument must be of type array|object` 错误，并构建可扩展的 SQL 查询逻辑。

在实际开发中，使用复选框实现多维度数据筛选（例如“适用职业”和“适用部位”）非常常见，但初学者常因 HTML 命名混乱、PHP 数组校验缺失或 SQL 逻辑耦合导致报错或结果异常。原问题的核心错误 foreach() argument must be of type array | object, string given 源于误将非数组（如未提交的 $_GET['choice1'] 或单值字符串）直接用于 foreach —— 这通常发生在表单未勾选任何选项时，$_GET['choice1'] 根本不存在，或被浏览器以字符串形式提交（如 choice1=armor 而非 choice1[]=armor）。

✅ 正确的 HTML 结构设计

首先，应语义化分离筛选维度，避免混用 name="choice[]" 处理不同字段。推荐为每类筛选条件使用独立且语义明确的 name：

  
Do kogo?
  

    
    dla Tanka
  
  

    
    dla Maga
  
  

    
    dla Łucznika
  




  
Na co?
  

    
    na Broń
  
  

    
    na Zbroję
  
  

⚠️ 关键点：所有复选框必须使用 name="xxx[]"（带方括号），否则 PHP 接收时仅保留最后一个值，无法形成数组。

✅ 安全、健壮的 PHP 后端处理

以下代码实现双维度联合筛选（支持 forWho 和 runeType 任意组合），并防御常见风险：

if (isset($_GET['btSubmit'])) {
    // 初始化筛选条件数组（默认为空，表示不限制）
    $filters = [
        'forWho'   => $_GET['forWho']   ?? [],
        'runeType' => $_GET['runeType'] ?? []
    ];

    // 验证：至少选择一个维度的一项
    if (empty($filters['forWho']) && empty($filters['runeType'])) {
        echo "
Wybierz przynajmniej jedną opcję z filtrów
";
        exit;
    }

    // 构建动态 WHERE 条件（防 SQL 注入：使用白名单校验值）
    $wheres = [];
    $params = [];

    // 处理 forWho 筛选（白名单校验）
    if (!empty($filters['forWho'])) {
        $validForWho = ['tank', 'mage', 'archer'];
        $safeForWho = array_intersect($filters['forWho'], $validForWho);
        if (!empty($safeForWho)) {
            $placeholders = str_repeat('?,', count($safeForWho) - 1) . '?';
            $wheres[] = "forWho IN ($placeholders)";
            $params = array_merge($params, $safeForWho);
        }
    }

    // 处理 runeType 筛选（白名单校验）
    if (!empty($filters['runeType'])) {
        $validRuneType = ['weapon', 'armor', 'ring', 'amulet', 'artefakt'];
        $safeRuneType = array_intersect($filters['runeType'], $validRuneType);
        if (!empty($safeRuneType)) {
            $placeholders = str_repeat('?,', count($safeRuneType) - 1) . '?';
            $wheres[] = "runeType IN ($placeholders)";
            $params = array_merge($params, $safeRuneType);
        }
    }

    // 组装最终查询（使用预处理语句更佳，此处为兼容 mysqli 的简易安全写法）
    $whereClause = !empty($wheres) ? 'WHERE ' . implode(' AND ', $wheres) : '';
    $sql = "SELECT * FROM runes $whereClause ORDER BY id";

    // 【推荐升级】使用 PDO 预处理（更安全）：
    // $stmt = $pdo->prepare($sql);
    // $stmt->execute($params);
    // $results = $stmt->fetchAll(PDO::FETCH_ASSOC);

    // 当前 mysqli 方案（需确保 $polaczenie 已建立连接）
    $result = mysqli_query($polaczenie, $sql);

    if (!$result) {
        echo "
Błąd zapytania: " . mysqli_error($polaczenie) . "
";
        exit;
    }

    $count = mysqli_num_rows($result);
    if ($count === 0) {
        echo "
Brak wyników spełniających kryteria filtrów
";
    } else {
        echo "
Znaleziono $count pasujących run
";
        while ($row = mysqli_fetch_assoc($result)) {
            $imgName = str_replace(' ', '-', $row['runeName']);
            echo <<
  

  
Description 1
  
Description 2
  
Description 3