我正在开发PHP上的电话簿应用程序。键入3个字符后,将触发搜索脚本。此查询效果很好。但我发现,如果我输入搜索框%%%个字符,页面会列出我不希望它做的所有记录。
$value = "%" . $_POST['value'] . "%";
$query = $db->prepare("SELECT
k.id,
k.name,
k.surname,
k.phone,
k.email,
u.title,
g.job,
b.dept
FROM
persons k
JOIN titles u ON k.title_id = u.id
JOIN departments b ON k.dept_id = b.id
JOIN jobs g ON k.job_id = g.id
WHERE
active = 1 AND
(
LOWER(k.name) LIKE :v1 OR
LOWER(k.surname) LIKE :v2 OR
LOWER(k.phone) LIKE :v3 OR
LOWER(k.email) LIKE :v4
)
ORDER BY
dept,
name,
surname"
);
$query->bindValue(":v1", strtolower($value), PDO::PARAM_STR);
$query->bindValue(":v2", strtolower($value), PDO::PARAM_STR);
$query->bindValue(":v3", strtolower($value), PDO::PARAM_STR);
$query->bindValue(":v4", strtolower($value), PDO::PARAM_STR);
$query->execute();
如何防止此错误?
答案 0 :(得分:3)
禁止(或删除)like特殊字符的条目,例如%,并在绑定参数时将其添加到字符串中,例如:
$query->bindValue(":v1", strtolower($value) . "%", PDO::PARAM_STR);
或:
$val2 = strtolower($value) . "%";
$query->bindValue(":v1", $val2, PDO::PARAM_STR);
这可能是最简单的解决方案。
答案 1 :(得分:1)
在执行查询之前验证用户输入。
这样的事情应该有效:
$search = preg_replace("/[^A-Za-z0-9 ]/", '', $search);