如何在 MySQLi 准备好的语句中安全地构建动态 LIKE 条件？

将具有动态 LIKE 条件的 SELECT 查询构建为 mysqli 预准备语句

处理用户输入时，预准备语句提供了一种执行 SQL 的安全方法查询。要根据用户输入处理动态数量的 LIKE 条件，需要自定义方法。

问题

给定的代码旨在使用变量创建一个准备好的语句LIKE 条件的数量。但是，存在一个错误，即 % 字符没有放置在参数周围，而是放置在占位符周围。

解决方案

要纠正此问题，% 字符应该换行构造变量中的参数。这是修改后的代码：

foreach ($search_exploded as $search_each) {
    $x++;
    if ($x == 1) {
        $construct .= "name LIKE ?%";  // % now wraps the parameter
    } else {
        $construct .= " or name LIKE ?%";  // % now wraps the parameter
    }
}

这将生成类似于以下内容的构造字符串：

name LIKE %?% or name LIKE %?% or ...

其他增强功能

提供的PHP 片段利用面向对象的 mysqli 而不是过程语法。此外，该解决方案可确保容纳动态 WHERE 子句表达式和数据类型，从而在不存在条件的情况下无需准备语句。

结论

按照以下步骤操作，您可以在mysqli准备语句中有效构造动态LIKE条件，显着增强您的SQL查询处理能力。

以上是如何在 MySQLi 准备好的语句中安全地构建动态 LIKE 条件？的详细内容。更多信息请关注PHP中文网其他相关文章！