Bagaimanakah Saya Boleh Menggunakan LIKE MySQL '%{$var}%' dengan Selamat dengan Penyata Disediakan?-tutorial mysql-php.cn

Bagaimanakah Saya Boleh Menggunakan LIKE MySQL '%{$var}%' dengan Selamat dengan Penyata Disediakan?

Mary-Kate Olsen

Lepaskan： 2025-01-16 10:52:59

asal

885 orang telah melayarinya

How Can I Safely Use MySQL's LIKE '%{$var}%' with Prepared Statements?

Melindungi Pangkalan Data Anda: Penggunaan LIKE '%{$var}%' yang Betul dalam Penyata Disediakan

Membina ciri carian dinamik yang bertindak balas kepada input pengguna memerlukan pertimbangan keselamatan yang teliti. Senario biasa melibatkan pencarian nama pengguna yang mengandungi padanan separa, menggunakan pengendali LIKE MySQL. Walau bagaimanapun, memasukkan input pengguna secara langsung ke dalam klausa LIKE dalam pernyataan yang disediakan terdedah kepada kelemahan suntikan SQL.

Pendekatan yang salah selalunya melibatkan percubaan untuk membenamkan pemegang tempat dalam LIKE aksara kad bebas, seperti SELECT * FROM users WHERE username LIKE '%{?}%'. Ini adalah cacat kerana sintaks pemegang tempat tidak ditafsirkan dengan betul oleh pemacu pangkalan data.

Kunci untuk menjamin pelaksanaan terletak pada membina LIKE ungkapan sebelum menyediakan pernyataan. Ini memastikan input pengguna dibersihkan dengan betul dan dianggap sebagai data, bukan kod boleh laku. Inilah kaedah yang betul:

<code class="language-php">$searchParam = "%" . $yourParam . "%"; // Prepend and append wildcards
$stmt = $mysqli->prepare("SELECT * FROM REGISTRY WHERE name LIKE ?");
$stmt->bind_param("s", $searchParam); // Bind the complete LIKE expression
$stmt->execute();</code>

Salin selepas log masuk

Dalam contoh yang dipertingkatkan ini, % kad bebas ditambahkan pada $yourParam yang dibekalkan pengguna untuk mencipta corak LIKE lengkap yang disimpan dalam $searchParam. Corak lengkap ini kemudiannya diikat pada pemegang tempat pernyataan yang disediakan menggunakan bind_param dengan jenis rentetan ("s"). Ini menghalang suntikan SQL sambil mengekalkan fungsi carian dinamik. Pendekatan ini menjamin keselamatan dan kecekapan yang ditawarkan oleh kenyataan yang disediakan.

Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Menggunakan LIKE MySQL '%{$var}%' dengan Selamat dengan Penyata Disediakan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!