PDO パラメータ化クエリを使用して LIKE ステートメントを含むメソッドを作成する

Question

これは我尝试の代コード：

$query = $database->prepare('SELECT * FROM table WHERE column LIKE "?%"');

$query->execute(array('value'));

while ($results = $query->fetch())
{
    echo $results['column'];
}

Answer 1

名前付きパラメーターを使用している場合は、MySQL データベース :

WHERE column_name LIKE CONCAT('%', :dangerousstring, '%')

で LIKE を使用して %

部分一致を行う方法を説明します。

名前付きパラメータは :dangerousstring です。

つまり、ユーザー入力とは別に、明示的にエスケープされていない % シンボルをクエリ内で使用します。

編集: Oracle Database の場合、結合構文は結合演算子 || を使用するため、次のように簡略化されます:

リーリー

ただし、@bobince が here で言及したように、いくつかの注意点があります:

したがって、like とパラメータ化を組み合わせるときに注意すべき点が他にもあります。

Answer 2

投稿後に答えを見つけました:

リーリー