实现多条件模糊搜索分页需动态拼接SQL条件并使用预处理防止注入，1. 通过数组收集LIKE查询条件并绑定参数；2. 用filter_var校验page和limit为正整数并设上限；3. 先查总数计算总页数，再执行分页查询；4. 前端传参后端须重校验，敏感字段用白名单，避免信任用户输入。

在PHP开发中，实现多条件模糊搜索分页是一个常见需求，比如后台管理系统中的用户查询、订单筛选等。为了保证功能完整性和系统安全性，需要合理拼接SQL查询条件，并对分页参数进行安全过滤。以下是具体实现方式。

1. 多条件模糊搜索的SQL拼接

使用LIKE进行模糊匹配时，应根据前端传入的多个可选条件动态构建WHERE子句。避免直接拼接用户输入，防止SQL注入。

示例代码：

$where = [];
$params = [];
if (!empty($_GET['username'])) {
$where[] = "username LIKE ?";
$params[] = '%' . $_GET['username'] . '%';
}
if (!empty($_GET['email'])) {
$where[] = "email LIKE ?";
$params[] = '%' . $_GET['email'] . '%';
}
if (!empty($_GET['status']) && in_array($_GET['status'], ['active', 'inactive'])) {
$where[] = "status = ?";
$params[] = $_GET['status'];
}
$sql = "SELECT * FROM users";
if (!empty($where)) {
$sql .= " WHERE " . implode(' AND ', $where);
}

这种方式通过数组收集条件和参数，配合预处理语句使用，既灵活又安全。

2. 分页参数的安全处理

分页涉及page和limit两个关键参数，必须强制校验为正整数，防止SQL注入或异常请求。

建议做法：

• 使用filter_var函数过滤参数
• 设置默认值，避免空参导致错误
• 限制每页最大记录数，防刷

$page  = isset($_GET['page']) ? (int)$_GET['page'] : 1;
$limit = isset($_GET['per_page']) ? (int)$_GET['per_page'] : 10;
// 防止负数或过大
$page  = $page < 1 ? 1 : $page;
$limit = $limit < 1 || $limit > 100 ? 20 : $limit;
$offset = ($page - 1) * $limit;

3. 完整查询与分页执行

结合PDO预处理执行最终SQL，先查总数用于计算总页数，再查分页数据。

// 总数查询
$total_sql = "SELECT COUNT(*) FROM users";
if (!empty($where)) {
    $total_sql .= " WHERE " . implode(' AND ', $where);
}
$stmt = $pdo->prepare($total_sql);
$stmt->execute($params);
$total = $stmt->fetchColumn();
$pages = ceil($total / $limit);
// 分页数据查询
$sql .= " LIMIT ? OFFSET ?";
$params[] = $limit;
$params[] = $offset;
$stmt = $pdo->prepare($sql);
$stmt->execute($params);
$results = $stmt->fetchAll(PDO::FETCH_ASSOC);

返回结果时可同时输出$results、当前页、总页数等信息，便于前端渲染分页控件。

4. 前端URL传递与安全建议

前端可通过GET方式提交搜索条件和分页参数，如：

注意：

• 所有参数需在后端重新校验，不可信任前端传值
• 敏感字段（如状态）应使用白名单校验
• 建议对高频请求做限流，防止恶意扫描

基本上就这些。核心是“动态拼接 + 参数化查询 + 输入过滤”，既能满足复杂查询需求，又能保障系统安全。