MySQL PHP PDO 准备语句 — MySQL LIKE 查询|极客教程

MySQL PHP PDO 准备语句 — MySQL LIKE 查询

在使用 MySQL 数据库进行数据查询时，经常需要使用 LIKE 查询语句来进行模糊匹配。然而，由于 LIKE 查询语句可能被注入攻击，因此我们需要使用 PDO 的 prepared statement 进行防注入处理。

阅读更多：MySQL 教程

1. LIKE 查询语句

LIKE 查询语句可以用来进行模糊匹配，比如我们可以使用以下查询语句查找所有含有“phone”的记录：

SELECT * FROM product WHERE name LIKE '%phone%';

这里的 % 代表可以匹配任意字符，因此这个查询可以找到所有名称中含有“phone”的记录。

2. PDO prepared statement

为了避免注入攻击，我们需要使用 PDO 的 prepared statement 进行数据库查询操作。prepared statement 是一种在执行 SQL 语句之前预处理 SQL 语句的方法，它会将 SQL 语句中的参数预处理，然后再将参数传递给查询函数，从而避免了注入攻击。

以下是一个简单的使用 PDO 进行查询的例子：

$pdo = new PDO('mysql:host=localhost;dbname=test', 'user', 'password');
$stmt = $pdo->prepare('SELECT * FROM product WHERE name LIKE ?');
$stmt->bindValue(1, '%phone%');
$stmt->execute();
$result = $stmt->fetchAll(PDO::FETCH_ASSOC);

在这个例子中，我们首先通过 PDO 建立了一个数据库连接，然后使用 prepare 方法预处理了 SQL 语句。接着，我们使用 bindValue 方法将参数绑定到 prepared statement 上。最后，我们执行 SQL 查询并获取结果。

3. 防注入处理

使用 prepared statement 可以避免注入攻击，但是我们仍然需要注意一些细节问题，以确保查询的安全性。

首先，需要注意的是，在使用 LIKE 查询语句时，一定要对查询参数进行适当的过滤和处理。通常情况下，我们会使用一些字符串处理函数来处理查询参数。例如，使用 trim 函数可以去除参数字符串两端的空格；使用 addslashes 函数可以转义字符串中的引号。

其次，需要注意的是，在使用 prepared statement 进行查询时，应该始终使用参数绑定的方式，而不应该直接拼接 SQL 语句。如果直接拼接 SQL 语句，那么 SQL 语句中的查询参数可能会被注入攻击者修改，从而导致查询失败或者查询出不符合预期的结果。

4. 示例代码

以下是一个完整的示例代码，演示了如何使用 prepared statement 进行 MySQL 的 LIKE 查询：

<?php
 $name =$ _GET['name'];

// 连接数据库
 $pdo = new PDO('mysql:host=localhost;dbname=test', 'user', 'password'); // 预处理 SQL 语句$ sql = 'SELECT * FROM product WHERE name LIKE ?';
 $stmt =$ pdo->prepare( $sql); // 绑定参数并执行查询$ name = '%'. $name.'%';$ stmt->bindValue(1,  $name);$ stmt->execute();
 $result =$ stmt->fetchAll(PDO::FETCH_ASSOC);

// 输出查询结果
foreach ( $result as$ row) {
    echo  $row['id']. "\t" .$ row['name'] . "\t" . $row['price'] . "\n";
}
?>

在这个示例中，我们通过 GET 请求获取了查询参数 name，然后连接了数据库，预处理了 SQL 语句，绑定了参数并执行查询。最后，我们通过 fetchAll 方法获取了查询结果，并对结果进行了输出。