Как создать параметризованный запрос PDO с оператором LIKE?

Question

Как создать параметризованный запрос PDO с оператором LIKE?

вот моя попытка:

$query = $database->prepare('SELECT * FROM table WHERE column LIKE "?%"');

$query->execute(array('value'));

while ($results = $query->fetch()) 
{
    echo $results['column'];
}

87

pdo php

автор: George Garchagudashvili

6 ответов

автор: Andrew G. Johnson · Accepted Answer · 2014-10-21 07:31:37

понял это сразу после того как я написал:

$query = $database->prepare('SELECT * FROM table WHERE column LIKE ?');
$query->execute(array('value%'));

while ($results = $query->fetch())
{
    echo $results['column'];
}

автор: Kzqai · Accepted Answer · 2017-05-23 12:10:11

чтобы использовать как с % частичным соответствием, вы также можете сделать это:column like concat('%', :something, '%') (другими словами, используя явно неоставляют % признаки того, что наверняка не пользователей вход) с именем параметра :something.

Edit: альтернативный синтаксис, который я нашел, заключается в использовании оператора конкатенации:|/, поэтому он станет просто: where column like '%' || :something || '%' etc

@bobince упоминает здесь что:

в сложности приходит, когда вы хотите разрешить литерал % или _ персонаж строка поиска, не имея его в качестве подстановочного знака.

так что это что-то еще, чтобы следить за при объединении like и параметризации.

автор: Blazer · Accepted Answer · 2014-10-21 07:33:39

$query = $database->prepare('SELECT * FROM table WHERE column LIKE ?');
$query->bindValue(1, "%$value%", PDO::PARAM_STR);
$query->execute();

if (!$query->rowCount() == 0) 
{
    while ($results = $query->fetch()) 
    {
        echo $results['column'] . "<br />\n";
    }       
} 
else 
{
    echo 'Nothing found';
}

автор: Vijaysinh Parmar · Accepted Answer · 2015-08-05 12:23:09

вы также можете попробовать этот. Я сталкиваюсь с подобной проблемой, но получил результат после исследования.

$query = $pdo_connection->prepare('SELECT * FROM table WHERE column LIKE :search');

$stmt= $pdo_connection->prepare($query);

$stmt->execute(array(':search' => '%'.$search_term.'%'));

$result = $stmt->fetchAll(PDO::FETCH_ASSOC);

print_r($result);

автор: kjdion84 · Accepted Answer · 2017-01-30 14:59:44

это работает:

search `table` where `column` like concat('%', :column, '%')

2

автор: kjdion84

автор: Ozkar R · Accepted Answer · 2015-09-27 00:39:12

PDO избегает " % " (может привести к SQL-инъекции): использование предыдущего кода даст результаты желания при поиске соответствия частичным строкам но если посетитель вводит символ "%" вы все равно получите результаты, даже если у вас нет ничего, хранящихся в базе данных (это может привести к SQL-инъекции)

Я пробовал много вариантов все с тем же результатом PDO избегает "%" ведущих нежелательных/невозбужденных результатов поиска.

Я хоть стоит поделиться, если кто-то нашел слово вокруг него, пожалуйста, поделитесь им