如何在 MySQL PDO 查询中利用 LIKE 和 bindParam 进行安全用户名搜索？

使用 LIKE 和 bindParam 进行 MySQL PDO 查询

BindParam 和 LIKE 进行用户名搜索

使用 MySQL 查询和 PDO 库时，这一点至关重要有效利用 LIKE 运算符。考虑一个场景，您需要查找以字母“a”开头的用户名。

正确实现

要正确匹配以“a”开头的用户名，以下代码就足够了：

$term = "a";
$term .= "%"; // Adding the wildcard character

$sql = "SELECT username FROM `user` WHERE username LIKE :term LIMIT 10";

$dbh = Connect::getInstance();
$stmt = $dbh->prepare($sql);
$stmt->bindParam(':term', $term, PDO::PARAM_STR);
$stmt->execute();
$data = $stmt->fetchAll();

错误分析

提供的代码错误地将 $term 用单引号括起来，导致查询不正确。通过删除内部单引号并正确附加通配符“%”字符，LIKE 运算符将匹配以“a”开头的用户名。

PDO 安全和引用

值得注意的是，PDO 将在bindParam执行期间自动引用所有字符串数据。这可确保正确处理特殊字符，防止 SQL 注入漏洞。

以上是如何在 MySQL PDO 查询中利用 LIKE 和 bindParam 进行安全用户名搜索？的详细内容。更多信息请关注PHP中文网其他相关文章！