PDO 準備語句中的通配符使用
執行 SQL 查詢通常涉及根據特定條件過濾資料。準備好的語句是透過防止 SQL 注入漏洞來實現此目的的安全方法。但是,在準備好的語句中使用通配符可能會帶來挑戰。
挑戰
考慮以下查詢,旨在搜尋名稱包含「anyname」的使用者:
嘗試使用準備好的語句執行此查詢時,常見方法例如:
和
可能無法運作。這是因為在 SQL LIKE 語句中使用通配符需要在預準備語句中進行特殊處理。
解
要在預準備語句中正確使用通配符,可以使用 bindValue () 方法而不是 bindParam()。以下是一個範例:
或者,可以使用bindParam(),但語法稍作修改:
兩種方法都確保通配符被正確轉義和處理通過資料庫.透過以這種方式使用bindValue()或bindParam(),可以在準備好的語句中使用通配符有效地搜尋數據,從而確保安全性和功能性。
以上是如何在 PDO 準備語句中正確使用萬用字元?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
