使用 PDO 扩展绑定 LIKE 值
在使用 LIKE 运算符的数据库查询中,正确绑定值以防止 SQL 注入攻击至关重要。在处理末尾涉及通配符(% 或 _)的 LIKE 查询时,了解适当的绑定技术至关重要。
让我们考虑示例查询:
select wrd from tablename WHERE wrd LIKE '$partial%'
在这里,我们想要使用 PDO 绑定变量 $partial。正确的方法是:
select wrd from tablename WHERE wrd LIKE :partial
其中 :partial 绑定到 $partial,值为“somet%”(带有尾随通配符)。这确保查询搜索与 somet 后跟任意数量的字符匹配的单词。
或者,您可以使用:
SELECT wrd FROM tablename WHERE wrd LIKE CONCAT(:partial, '%')
在 MySQL 中执行通配符串联而不是 PDO 语句.
但是,如果您要搜索的部分单词本身可能包含通配符(% 或 _)或反斜杠,则需要额外在 PDO 准备和参数绑定中可能需要转义机制。
以上是如何在 PDO 中正确地将值与 LIKE 运算符绑定?的详细内容。更多信息请关注PHP中文网其他相关文章!
