本文详解如何安全地从mysql数据库查询并导出当前登录用户的专属数据(如工单记录)到excel,涵盖sql条件过滤、会话变量校验、防sql注入及基础excel生成方法。
在PHP中将数据库查询结果导出为Excel文件,关键在于精准筛选用户数据与保障代码安全性。你遇到的问题——WHERE UserName = '".$_SESSION['useruid']."' 无法返回预期结果,通常源于字段名与会话变量名不匹配或类型不一致。
首先,请检查以下三点:
$query = "SELECT * FROM tickets_list WHERE user_id = ?"; // 推荐使用预处理 $stmt = mysqli_prepare($conn, $query); mysqli_stmt_bind_param($stmt, "i", $_SESSION['useruid']); mysqli_stmt_execute($stmt); $result = mysqli_stmt_get_result($stmt);
⚠️ 注意:直接拼接 $_SESSION 变量(如 "WHERE UserName = '".$_SESSION['useruid']."'")存在严重SQL注入风险,务必避免。
PHP原生导出Excel最轻量、兼容性最好的方式是生成 .csv 文件(Excel可直接打开):
400-7654-355 // 1. 设置响应头,触发下载
header('Content-Type: text/csv; charset=utf-8');
header('Content-Disposition: attachment; filename="my_tickets_' . date('Y-m-d') . '.csv"');
// 2. 打开输出缓冲区作为文件句柄
$output = fopen('php://output', 'w');
// 3. 写入表头(根据实际字段调整)
fputcsv($output, ['ID', 'Title', 'Status', 'Created At', 'Priority']);
// 4. 执行安全查询(推荐预处理)
$query = "SELECT id, title, status, created_at, priority
FROM tickets_list
WHERE username = ?";
$stmt = mysq
li_prepare($conn, $query);
mysqli_stmt_bind_param($stmt, "s", $_SESSION['username']); // 假设用 username 字段 & session 键
mysqli_stmt_execute($stmt);
$result = mysqli_stmt_get_result($stmt);
// 5. 写入每行数据
while ($row = mysqli_fetch_assoc($result)) {
fputcsv($output, $row);
}
fclose($output);
exit;fwrite($output, "\xEF\xBB\xBF"); // UTF-8 BOM for Excel compatibility
如需生成真正的 .xlsx 文件(支持样式、多Sheet等),推荐使用开源库 PhpSpreadsheet:
composer require phpoffice/phpspreadsheet
然后用 setCellValue() 逐单元格写入,兼顾安全与专业性。
掌握以上方法,你就能稳定、安全地为每位登录用户导出其专属数据,并杜绝越权导出风险。
li_prepare($conn, $query);
mysqli_stmt_bind_param($stmt, "s", $_SESSION['username']); // 假设用 username 字段 & session 键
mysqli_stmt_execute($stmt);
$result = mysqli_stmt_get_result($stmt);
// 5. 写入每行数据
while ($row = mysqli_fetch_assoc($result)) {
fputcsv($output, $row);
}
fclose($output);
exit;
