LIKE 搜索使用 LIKE 运算符进行模式匹配的数据库查询需要仔细处理,以防止漏洞并确保性能。 使用不当可能会导致错误。
让我们检查一些有缺陷的方法:
<code class="language-sql">$sql = 'SELECT * FROM `users` WHERE username LIKE \'%{?}%\' ';</code>此操作失败,因为 SQL 字符串中的变量数量与提供给 bind_param() 的参数不匹配。
<code class="language-sql">$sql = 'SELECT * FROM `users` WHERE username LIKE %{?}% ';</code>由于查询字符串中通配符 (%{}) 的放置不正确,这会导致语法错误。
正确的方法使用准备好的语句,使用问号占位符并适当地绑定变量:
<code class="language-php">$likeVar = "%" . $yourParam . "%";
$stmt = $mysqli->prepare("SELECT * FROM REGISTRY where name LIKE ?");
$stmt->bind_param("s", $likeVar);
$stmt->execute();</code>此代码:
$yourParam) 来构造模式。? 占位符准备查询。bind_param() 绑定模式字符串(“s”表示字符串)。将准备好的语句与LIKE一起使用可以防止SQL注入并提高查询效率。
以上是准备好的语句如何提高LIKE搜索的效率和安全性?的详细内容。更多信息请关注PHP中文网其他相关文章!
