将具有动态 LIKE 条件的 SELECT 查询构建为 mysqli 预准备语句
处理用户输入时,预准备语句提供了一种执行 SQL 的安全方法查询。要根据用户输入处理动态数量的 LIKE 条件,需要自定义方法。
问题
给定的代码旨在使用变量创建一个准备好的语句LIKE 条件的数量。但是,存在一个错误,即 % 字符没有放置在参数周围,而是放置在占位符周围。
解决方案
要纠正此问题,% 字符应该换行构造变量中的参数。这是修改后的代码:
foreach ($search_exploded as $search_each) {
$x++;
if ($x == 1) {
$construct .= "name LIKE ?%"; // % now wraps the parameter
} else {
$construct .= " or name LIKE ?%"; // % now wraps the parameter
}
}这将生成类似于以下内容的构造字符串:
name LIKE %?% or name LIKE %?% or ...
其他增强功能
提供的PHP 片段利用面向对象的 mysqli 而不是过程语法。此外,该解决方案可确保容纳动态 WHERE 子句表达式和数据类型,从而在不存在条件的情况下无需准备语句。
结论
按照以下步骤操作,您可以在mysqli准备语句中有效构造动态LIKE条件,显着增强您的SQL查询处理能力。
以上是如何在 MySQLi 准备好的语句中安全地构建动态 LIKE 条件?的详细内容。更多信息请关注PHP中文网其他相关文章!
