理解預處理語句和 LIKE 查詢
在 PHP 中,使用預處理語句進行 LIKE 查詢時,必須小心處理字串參數,以避免潛在錯誤。預處理語句利用佔位符 (?) 來防止 SQL 注入,同時提高效能。
情況一:使用 '%{$var}%' 配對使用者名稱
以下程式碼:
<code class="language-php">$sql = 'SELECT * FROM `users` WHERE username LIKE \'%{?}%\' ';</code>會引發錯誤,因為佔位符 ? 在預處理的 SQL 語句中沒有正確定義。
情況二:使用 %{?}% 配對使用者名稱
以下程式碼:
<code class="language-php">$sql = 'SELECT * FROM `users` WHERE username LIKE %{?}% ';</code>同樣會失敗,因為語法無效。百分號 (%) 不能直接用作預處理語句中的佔位符。
解:使用連接的 LIKE 變數
要解決此問題,請使用連接的 LIKE 變數:
<code class="language-php">$likeVar = "%" . $yourParam . "%";
$stmt = $mysqli->prepare("SELECT * FROM REGISTRY where name LIKE ?");
$stmt->bind_param("s", $likeVar);
$stmt->execute();</code>在此範例中,$likeVar 透過將百分號與使用者輸入 $yourParam 組合來建構。 LIKE 條件然後使用 ? 佔位符,該佔位符在參數綁定期間綁定到連接的字串 $likeVar。
這種方法確保百分號被視為文字字符,而不是預處理語句中的語法元素。它還允許透過確保 $likeVar 包含正確的通配符來進行不區分大小寫的搜尋。
以上是如何在 PHP 中安全地使用帶有 LIKE 查詢的預先準備語句?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
