如何在 PHP 中安全地使用帶有 LIKE 查詢的預先準備語句？

理解預處理語句和 LIKE 查詢

在 PHP 中，使用預處理語句進行 LIKE 查詢時，必須小心處理字串參數，以避免潛在錯誤。預處理語句利用佔位符 (?) 來防止 SQL 注入，同時提高效能。

情況一：使用 '%{$var}%' 配對使用者名稱

以下程式碼：

<code class="language-php">$sql = 'SELECT * FROM `users` WHERE username LIKE \'%{?}%\' ';</code>

會引發錯誤，因為佔位符 ? 在預處理的 SQL 語句中沒有正確定義。

情況二：使用 %{?}% 配對使用者名稱

以下程式碼：

<code class="language-php">$sql = 'SELECT * FROM `users` WHERE username LIKE %{?}% ';</code>

同樣會失敗，因為語法無效。百分號 (%) 不能直接用作預處理語句中的佔位符。

解：使用連接的 LIKE 變數

要解決此問題，請使用連接的 LIKE 變數：

<code class="language-php">$likeVar = "%" . $yourParam . "%";
$stmt = $mysqli->prepare("SELECT * FROM REGISTRY where name LIKE ?");
$stmt->bind_param("s", $likeVar);
$stmt->execute();</code>

在此範例中，$likeVar 透過將百分號與使用者輸入 $yourParam 組合來建構。 LIKE 條件然後使用 ? 佔位符，該佔位符在參數綁定期間綁定到連接的字串 $likeVar。

這種方法確保百分號被視為文字字符，而不是預處理語句中的語法元素。它還允許透過確保 $likeVar 包含正確的通配符來進行不區分大小寫的搜尋。

以上是如何在 PHP 中安全地使用帶有 LIKE 查詢的預先準備語句？的詳細內容。更多資訊請關注PHP中文網其他相關文章！