Comment puis-je utiliser en toute sécurité LIKE '%{$var}%' avec des instructions préparées ?

Utilisation correcte de LIKE '%{$var}%' avec les instructions préparées

Les requêtes de base de données sécurisées et efficaces nécessitent l'utilisation appropriée des requêtes préparées déclarations, en particulier lors de l'incorporation de valeurs dynamiques telles que '%{$var}%' dans des clauses LIKE. Cet article montre l'approche correcte pour utiliser LIKE avec des instructions préparées.

La syntaxe incorrecte fournie dans la question entraîne des erreurs car elle contient des espaces réservés qui ne sont pas reconnus par l'instruction préparée. Pour remédier à cela, il faut :

1. Entourer la valeur dynamique '%{$var}%' dans une concaténation de chaîne pour créer une condition LIKE spécifique : $likeVar = "%" . $votreParam . "%";
2. Préparez la requête à l'aide du ? espace réservé, à l'exclusion des conditions LIKE : $stmt = $mysqli->prepare("SELECT * FROM REGISTRY Where name LIKE ?");
3. Liez la condition LIKE préparée à l'aide de bind_param : $stmt->bind_param( "s", $likeVar);

En suivant ces étapes, vous pouvez utiliser efficacement LIKE avec des instructions préparées, améliorant à la fois la sécurité et les performances de vos requêtes de base de données.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!