如果我将PDO模拟设置为false,因为我已经多次读取SQL注入安全性,在LIKE查询中使用通配符导致无输出。
这是设置:
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
这是一个失败的查询:
$query = $db->prepare("SELECT * FROM video WHERE name like :search and removed='0' and verified='1' or subgenre like :search and removed='0' and verified='1' LIMIT :lb, :lt");
$query->bindValue(':search', '%'.$search.'%', PDO::PARAM_STR);
$query->bindValue(':lb', $limitbottom, PDO::PARAM_INT);
$query->bindValue(':lt', $limittop, PDO::PARAM_INT);
$query->execute();
$array = $query->fetchAll(PDO::FETCH_ASSOC);
如果我删除了模拟设置,查询将按预期运行并返回一个数组。如果我正确理解了所有内容,则应在脚本中设置模拟为false以防止SQL注入。我该如何纠正?是否可以通过通配符和仿真关闭like查询?
PHP是5.4.10& MySQL是5.1.66
答案 0 :(得分:2)
问题是参数:search已被使用了两次,仿真关闭时不支持此功能。
这解决了这个问题:
$query = $db->prepare("SELECT * FROM video WHERE name like :search1 and removed='0' and verified='1' or subgenre like :search2 and removed='0' and verified='1' LIMIT :lb, :lt");
$query->bindValue(':search1', '%'.$search.'%', PDO::PARAM_STR);
$query->bindValue(':search2', '%'.$search.'%', PDO::PARAM_STR);
$query->bindValue(':lb', $limitbottom, PDO::PARAM_INT);
$query->bindValue(':lt', $limittop, PDO::PARAM_INT);
$query->execute();
$array = $query->fetchAll(PDO::FETCH_ASSOC);
现在查询将按预期返回数组。