Wie kann ich Wildcard-Suchen mit vorbereiteten Anweisungen und dem Schlüsselwort „LIKE' sicher implementieren?-MySQL-Tutorial-php.cn

Wie kann ich Wildcard-Suchen mit vorbereiteten Anweisungen und dem Schlüsselwort „LIKE' sicher implementieren?

Linda Hamilton

Freigeben： 2024-12-10 03:22:14

Original

234 Leute haben es durchsucht

How Can I Implement Wildcard Searches Securely with Prepared Statements and the

Implementieren der Platzhaltersuche mit vorbereiteten Anweisungen unter Verwendung des Schlüsselworts „Gefällt mir“

Vorbereitete Anweisungen bieten eine sichere und effiziente Möglichkeit, Datenbankabfragen auszuführen. Um Suchfunktionen basierend auf einem Schlüsselwort zu implementieren, kann das Schlüsselwort „Gefällt mir“ verwendet werden. Um „like“ mit vorbereiteten Anweisungen zu verwenden, muss die Wildcard-Komponente des Schlüsselworts in die Abfrage integriert werden.

Angenommen, wir haben eine Abfrage wie diese:

PreparedStatement pstmt = con.prepareStatement(
      "SELECT * FROM analysis WHERE notes like ?");

Nach dem Login kopieren

Um eine Wildcard-Suche durchzuführen , müssen wir das Platzhaltermuster in der Abfrage angeben. Dies wird durch Einfügen des Platzhalterzeichens („%“) nach dem Schlüsselwortwert erreicht. Wenn wir beispielsweise eine Präfix-Match-Suche durchführen möchten, können wir das Fragezeichen durch einen Parameter wie „notes%:“ ersetzen.

pstmt.setString(1, notes + "%");

Nach dem Login kopieren

Alternativ können wir einen Suffix-Match verwenden, indem wir den Platzhalter anhängen an den Anfang des Schlüsselwortwerts:

pstmt.setString(1, "%" + notes);

Nach dem Login kopieren

Für eine globale Übereinstimmung können wir den Schlüsselwortwert mit einschließen Platzhalter:

pstmt.setString(1, "%" + notes + "%");

Nach dem Login kopieren

Es ist wichtig zu beachten, dass die Verwendung von Sonderzeichen wie „%“ die vorbereitete Anweisung beeinträchtigen kann. Um diese Störung zu verhindern, können wir ein Escape-Zeichen verwenden. Im obigen Code haben wir beispielsweise ein Escape-Zeichen ('!') eingeführt, um zu verhindern, dass das Platzhalterzeichen als Metazeichen interpretiert wird:

PreparedStatement pstmt = con.prepareStatement(
        "SELECT * FROM analysis WHERE notes LIKE ? ESCAPE '!'");

Nach dem Login kopieren

Dadurch wird sichergestellt, dass das Platzhalterzeichen als Metazeichen behandelt wird Literalzeichen statt Metazeichen.

Das obige ist der detaillierte Inhalt vonWie kann ich Wildcard-Suchen mit vorbereiteten Anweisungen und dem Schlüsselwort „LIKE' sicher implementieren?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!