如何在 PDO 準備語句中使用通配符：避免常見陷阱的指南？

支援通配符的 PDO 準備語句

準備語句透過防止 SQL 注入攻擊來提高資料庫查詢的安全性和效能。但是，在準備好的語句中使用通配符可能會帶來挑戰。

在您的情況下，您試圖執行以下查詢：

<code class="sql">SELECT * FROM `gc_users` WHERE `name` LIKE '%anyname%'</code>

您嘗試將參數與'%:name 綁定%' 和':name' 方法，但都失敗了。以下是如何在準備好的語句中使用通配符：

使用bindValue：

您可以使用bindValue正確綁定通配符參數：

<code class="php">$stmt = $dbh->prepare("SELECT * FROM `gc_users` WHERE `name` LIKE :name");
$stmt->bindValue(':name', '%' . $name . '%');
$stmt->execute();</code>

使用bindParam（已修改）：

此外，您也可以稍微修改一下使用bindParam：

<code class="php">$name = "%$name%";
$query = $dbh->prepare("SELECT * FROM `gc_users` WHERE `name` like :name");
$query->bindParam(':name', $name);
$query->execute();</code>

以上是如何在 PDO 準備語句中使用通配符：避免常見陷阱的指南？的詳細內容。更多資訊請關注PHP中文網其他相關文章！