Comment puis-je implémenter des recherches par caractères génériques en toute sécurité avec des instructions préparées et le mot clé « LIKE

Comment puis-je implémenter des recherches par caractères génériques en toute sécurité avec des instructions préparées et le mot clé « LIKE » ?

Linda Hamilton

Libérer： 2024-12-10 03:22:14

original

233 Les gens l'ont consulté

How Can I Implement Wildcard Searches Securely with Prepared Statements and the

Implémentation de la recherche par caractères génériques avec des instructions préparées à l'aide du mot clé « like »

Les instructions préparées offrent un moyen sûr et efficace d'exécuter des requêtes de base de données. Pour mettre en œuvre une fonctionnalité de recherche basée sur un mot-clé, le mot-clé « j'aime » peut être utilisé. Pour utiliser « j'aime » avec des instructions préparées, le composant générique du mot-clé doit être incorporé dans la requête.

Supposons que nous ayons une requête comme celle-ci :

PreparedStatement pstmt = con.prepareStatement(
      "SELECT * FROM analysis WHERE notes like ?");

Copier après la connexion

Pour effectuer une recherche par caractère générique , nous devons spécifier le modèle générique dans la requête. Ceci est réalisé en insérant le caractère générique (« % ») après la valeur du mot-clé. Par exemple, si nous voulons exécuter une recherche de correspondance de préfixe, nous pouvons remplacer le point d'interrogation par un paramètre tel que notes% :

pstmt.setString(1, notes + "%");

Copier après la connexion

Alternativement, nous pouvons utiliser une correspondance de suffixe en attachant le caractère générique au début de la valeur du mot-clé :

pstmt.setString(1, "%" + notes);

Copier après la connexion

Pour une correspondance globale, nous pouvons entourer la valeur du mot-clé avec caractères génériques :

pstmt.setString(1, "%" + notes + "%");

Copier après la connexion

Il est crucial de noter que lors de l'utilisation de caractères spéciaux tels que « % », ils peuvent interférer avec l'instruction préparée. Pour éviter cette interférence, nous pouvons utiliser un caractère d'échappement. Par exemple, dans le code ci-dessus, nous avons introduit un caractère d'échappement ('!') pour empêcher que le caractère générique soit interprété comme un métacaractère :

PreparedStatement pstmt = con.prepareStatement(
        "SELECT * FROM analysis WHERE notes LIKE ? ESCAPE '!'");

Copier après la connexion

Cela garantit que le caractère générique est traité comme un métacaractère. caractère littéral plutôt qu'un métacaractère.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!