Php select * where like

时间:2013-05-07 16:19:06

标签: php sql search select

您好我正在尝试为网站进行搜索。它有2个输入信息,一个是下拉列表。

<div id="search">
<form action="projectsearchall.php" method="post" enctype="multipart/form-data">
<h3>Search for an Item</h3>

<p>Keywords</p><p><input name="keywords" type="text" value="keywords"></p>


<p>Select A Location</p><p>

<select name="location" id="jumpMenu">
 <option>Any Location</option>
 <option>Antrim</option>
 <option>Armagh</option>
 <option>Carlow</option>
 <option>Cavan</option>


</select>
</p>
<p>

    

</form>
</div>

我似乎无法弄清楚如何将2个输入结合起来给出结果,我可以单独进行,但不能一起工作以获得更准确的结果。

PHP 

$keywords = $_POST['keywords'];
$keylocation =$_POST['location'];
$username = $_SESSION['username'];

   //MySQL Database Connect
 include 'connect.php';
 //make sql query

$result = mysqli_query($con,"SELECT * FROM projectitem where description  like '%$keywords%'  or item like '%$keywords%' or location like '%$keywords%'");

提前致谢!

3 个答案:

答案 0 :(得分:3)

我认为您可以在运行查询之前进行一些预处理。

首先,您需要为您的选择选项提供某种值以进行检查。

我不知道你确切的数据库结构,但假设你正在使用选择的文本,你可能想尝试这个:

$query = "SELECT * FROM projectitem WHERE (description LIKE '%$keywords%' OR item LIKE '%$keywords%')";

这是您的基本查询,现在运行它将检查关键字,但没有位置。

if($keylocation != "Any location") $query .= " AND location = '$keylocation'";

最后一行会将该位置添加为查询的附加过滤器。运行它,看看它做了什么。 (我不确定那里的字符串比较)

啊是的,作为最后的建议:确保通过转义函数mysqli_escape_string运行您的输入。否则,您将打开SQL注入。

答案 1 :(得分:1)

您实际上并未使用$keylocation的值;要缩小搜索范围,您需要AND而不是OR

$stmt = mysqli_prepare($con, 'SELECT * FROM projectitem 
    where (description LIKE ? OR item LIKE ?) AND location LIKE ?');

mysqli_stmt_bind_param($stmt, 'sss', "%$keywords%", "%$keywords%", "%$keylocation%");

mysqli_stmt_execute($stmt);

// etc.

<强>更新

由于下拉列表可能包含“任何位置”,因此您需要动态更改查询:

$sql = 'SELECT * FROM projectitem WHERE 1'; // base query

$types = ''; $vars = array();

if (!empty($keywords)) {
    $sql .= ' AND (description LIKE ? OR item LIKE ?)';
    $types .= 'ss';
    $vars[] = "%$keywords%";
    $vars[] = "%$keywords%";
}

if ($keylocation != 'Any Location') {
    $sql .= ' AND location LIKE ?';
    $types .= 's';
    $vars[] = $keylocation;
}

$stmt = mysqli_prepare($con, $sql);
if ($types) {
    mysqli_stmt_bind_param($stmt, $types, $vars);
}
mysqli_stmt_execute($stmt);

答案 2 :(得分:0)

首先你有sql注入

使用mysqli_real_escape_string

如果关键字例如为null,则您的查询将是这样的

$result = mysqli_query($con,"SELECT * FROM projectitem where description  like '%%'  or item like '%%' or location like '%$keylocation%'");

description like '%%'返回所有行!

您必须先检查数据

$query = "SELECT * FROM projectitem where 1=1 "
if($keywords)
  $query .= " AND ( description  like '%$keywords%' AND item like '%$keywords%' )";
if($keylocation)
  $query .= " AND location  like '%$keylocation%'";
相关问题
最新问题