준비된 진술은 어떻게 LIKE 검색의 효율성과 보안을 향상시킬 수 있습니까?

LIKE 준비된 진술로 검색 최적화

패턴 일치를 위해 LIKE 연산자를 사용하는 데이터베이스 쿼리는 취약점을 방지하고 성능을 보장하기 위해 신중하게 처리해야 합니다. 부적절하게 사용하면 오류가 발생할 수 있습니다.

결함이 있는 몇 가지 접근 방식을 살펴보겠습니다.

<code class="language-sql">$sql = 'SELECT * FROM `users` WHERE username LIKE \'%{?}%\' ';</code>

SQL 문자열의 변수 수가 bind_param()에 제공된 매개변수와 일치하지 않기 때문에 실패합니다.

<code class="language-sql">$sql = 'SELECT * FROM `users` WHERE username LIKE %{?}% ';</code>

쿼리 문자열 내 와일드카드 문자(%{})를 잘못 배치하여 구문 오류가 발생합니다.

올바른 방법은 물음표 자리 표시자를 사용하고 변수를 적절하게 바인딩하는 준비된 문을 사용하는 것입니다.

<code class="language-php">$likeVar = "%" . $yourParam . "%";
$stmt = $mysqli->prepare("SELECT * FROM REGISTRY where name LIKE ?");
$stmt->bind_param("s", $likeVar);
$stmt->execute();</code>

이 코드:

1. 사용자 입력($yourParam)에 백분율 기호를 연결하여 패턴을 구성합니다.
2. ? 자리 표시자를 사용하여 쿼리를 준비합니다.
3. bind_param()을 사용하여 패턴 문자열(문자열의 경우 "s")을 바인딩합니다.
4. 준비된 문장을 실행합니다.

LIKE과 함께 준비된 문을 사용하면 SQL 삽입을 방지하고 쿼리 효율성이 향상됩니다.

위 내용은 준비된 진술은 어떻게 LIKE 검색의 효율성과 보안을 향상시킬 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!