准备好的语句如何提高LIKE搜索的效率和安全性？

使用准备好的语句优化 LIKE 搜索

使用 LIKE 运算符进行模式匹配的数据库查询需要仔细处理，以防止漏洞并确保性能。 使用不当可能会导致错误。

让我们检查一些有缺陷的方法：

<code class="language-sql">$sql = 'SELECT * FROM `users` WHERE username LIKE \'%{?}%\' ';</code>

此操作失败，因为 SQL 字符串中的变量数量与提供给 bind_param() 的参数不匹配。

<code class="language-sql">$sql = 'SELECT * FROM `users` WHERE username LIKE %{?}% ';</code>

由于查询字符串中通配符 (%{}) 的放置不正确，这会导致语法错误。

正确的方法使用准备好的语句，使用问号占位符并适当地绑定变量：

<code class="language-php">$likeVar = "%" . $yourParam . "%";
$stmt = $mysqli->prepare("SELECT * FROM REGISTRY where name LIKE ?");
$stmt->bind_param("s", $likeVar);
$stmt->execute();</code>

此代码：

1. 通过将百分号连接到用户输入 ($yourParam) 来构造模式。
2. 使用 ? 占位符准备查询。
3. 使用 bind_param() 绑定模式字符串（“s”表示字符串）。
4. 执行准备好的语句。

将准备好的语句与LIKE一起使用可以防止SQL注入并提高查询效率。

以上是准备好的语句如何提高LIKE搜索的效率和安全性？的详细内容。更多信息请关注PHP中文网其他相关文章！