Wie binde ich LIKE-Werte sicher mit PDO in SQL-Abfragen?

LIKE-Werte mit PDO binden

Beim Versuch, LIKE-Werte mithilfe der PDO-Erweiterung zu binden, ist es wichtig zu berücksichtigen, wie das %-Platzhalterzeichen ist behandelt.

Im bereitgestellten Beispiel:

select wrd from tablename WHERE wrd LIKE '$partial%'

Es gibt mehrere Möglichkeiten So nähern Sie sich der Bindung:

• select wrd from tablename WHERE wrd LIKE ':partial%':
  Dies würde :partial an $partial="somet" binden und die Abfrage würde nach Wörtern suchen endet mit „somet.“
• select wrd from tablename WHERE wrd LIKE ':partial':
  Dies würde :partial an binden $partial="somet%", einschließlich % im gebundenen Wert. Die Abfrage würde keine Ergebnisse finden, da die Teilzeichenfolge nicht mit % endet.
• SELECT wrd FROM tablename WHERE wrd LIKE CONCAT(:partial, '%'):
  Diese Option verbindet den gebundenen Wert mit % am MySQL-Ende, wodurch das Platzhalterzeichen effektiv behandelt wird.

In komplexen Fällen, in denen die Teilzeichenfolge Sonderzeichen (% oder _) enthalten kann, zusätzliches Escapezeichen kann erforderlich sein:

$stmt= $db->prepare("SELECT wrd FROM tablename WHERE wrd LIKE :term ESCAPE '+'");
$escaped= str_replace(array('+', '%', '_'), array('++', '+%', '+_'), $var);
$stmt->bindParam(':term', $escaped);

Dieser Ansatz ersetzt Vorkommen von , %, und _ im gebundenen Wert durch maskierte Versionen.

Das obige ist der detaillierte Inhalt vonWie binde ich LIKE-Werte sicher mit PDO in SQL-Abfragen?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!