php – Mysqli参数绑定问题

我需要额外的一双眼睛.任何帮助将不胜感激.这是一个非常简单的搜索查询,但无论出于何种原因,我找不到该错误.好吧,我知道bug在哪里.我只是无法超越它.无论如何…..

我从POST变量中获取搜索值,设置该变量,然后按如下方式设置列变量…

$term = "'%".$_POST['searchTerm']."%'";
$field = "columnName";

当我回应这些时,它们会完美地出现.因此,如果我在表单中键入“a”,我将回显’％a％’和columnName.

然后我准备查询并绑定参数如下…

$suquery=$dbCon->prepare("select * from Table where ? LIKE ?");
$suquery->bind_param('ss', $field, $term);
$suquery->execute();

结果总是返回0行.我发现,当我玩这个时,没有绑定参数正常工作,即使它应该如此回应.例如,当我更改查询以便列被硬编码并且仅绑定搜索项时….

$suquery=$dbCon->prepare("select * from Table where columnName LIKE ?");
$suquery->bind_param('s', $term);
$suquery->execute();

我仍然得到零返回的行.这告诉我,即使$field回声为’％a％’,某些东西仍然没有关闭.我真的很茫然.同样,当我硬连接搜索词并绑定列时……

$suquery=$dbCon->prepare("select * from Table where ? LIKE '%a%'");
$suquery->bind_param('s', $field);
$suquery->execute();

我得到了太多的行返回.它实际上从表中拉出行,其中任何列中的值包含字母“a”.因此,列或术语都没有正确绑定.劳动节！

解决方法:

$suquery=$dbCon->prepare("select * from Table where ? LIKE ?");

不会按预期工作.它将被翻译为：

SELECT * from table WHERE 'columnName' LIKE '%a%'

返回所有行,因为’columnName’包含’a’. ‘columnName’是一个字符串,而不是实际的列名.

您的第二次尝试是正确的,除非您在该术语中有额外的引号.使用参数时,您不需要任何引号.解决方案是：

$term = "%".$_POST['searchTerm']."%";
$suquery=$dbCon->prepare("select * from Table where columnName LIKE ?");
$suquery->bind_param('s', $term);
$suquery->execute();

标签：php,mysql,mysqli,sql-like,parameterbinding
来源： https://codeday.me/bug/20190610/1214419.html