Gunakan pertanyaan berparameter PDO untuk mencipta kaedah dengan penyataan LIKE

Question

Ini adalah kod yang saya cuba: $query=$database-&gt;prepare('SELECT*FROMtableWHEREcolumnLIKE"?%"');$query-&gt;execute(array('value'));while($results=$query -&gt;fetch()){echo$results['column'];}

P粉722521204 · Answer

Bagi mereka yang menggunakan parameter bernama, berikut ialah cara menggunakan padanan separa dalam pangkalan data MySQLLIKE进行%:

WHERE column_name LIKE CONCAT('%', :dangerousstring, '%')

di mana parameter yang dinamakan adalah :dangerousstring.

Dalam erti kata lain, anda menggunakan simbol % unescaped yang jelas dalam pertanyaan anda, yang berasingan daripada input pengguna.

EDIT: Untuk Pangkalan Data Oracle, sintaks gabungan menggunakan operator gabungan: ||, jadi ia akan memudahkan kepada:

WHERE column_name LIKE '%' || :dangerousstring || '%'

Namun, seperti yang disebut oleh @bobince di sini, terdapat beberapa kaveat:

Oleh itu, terdapat perkara lain yang perlu diberi perhatian apabila menggabungkan suka dan parameterisasi.

P粉731861241 · Answer

Saya temui jawapan selepas menyiarkan:

$query = $database->prepare('SELECT * FROM table WHERE column LIKE ?');
$query->execute(array('value%'));

while ($results = $query->fetch())
{
    echo $results['column'];
}

Gunakan pertanyaan berparameter PDO untuk mencipta kaedah dengan penyataan LIKE

membalas semua(2)saya akan balas