// Check and set search
if($_POST['searchQuery'] !== "null"){
$search = $_POST['searchQuery'];
$search = explode(' ', $search);
//long words are more than 4
$longwords = '';
$shortwords = '';
$searchCount = count($search);
foreach ($search as $word) {
$word = trimplural($word);
if ($searchCount > 1){
if (strlen($word) > 3) {
if (!in_array($word,array('sale','brand','lots'))){
$longwords.=' +'.$word;
} //check for words
}else{ //else 3 letters
if (strlen($word) == 3) {
if (!in_array($word,array('and','the','him','her','for','new','you'))){
$shortwords.= " OR (fname LIKE '%$word%' OR lname LIKE '%$word%') ";
} //search for words
}//strlen == 3
}
}else{//else searchcount == 1
if (!in_array($word,array('and','the','him','her','for','new','you'))){
$shortwords.= " OR (fname LIKE '%$word%' OR lname LIKE '%$word%') ";
}
}
}
}else{
$search = null;
}
SQL:
$sql = "SELECT * FROM people WHERE MATCH (lname,fname) AGAINST (:longwords IN BOOLEAN MODE) $shortwords LIMIT " . $postnumbers . " OFFSET ".$offset;
$q1 = $conn->prepare($sql) or die("failed!");
$q1->bindParam(':uniid', $uniid, PDO::PARAM_STR);
$q1->bindParam(':longwords', $longwords, PDO::PARAM_STR);
$q1->execute();
我有一个使用上面显示的代码生成的搜索查询,我想结合使用mysql全文搜索和LIKE查询。为了做到这一点,我已经将部分SQL查询添加为变量$shortwords以使LIKE部分工作,但是,据我所知,由于sql注入,这不是最好的选择。
在实现SQL之前,如何让这个查询“更安全”或清理输出?
答案 0 :(得分:1)
在创建子句时,在将$ word变量添加到字符串之前使用PDO :: quote,它将清理并转义该值。然后,您不需要使用短字来bindParam,但是您可以获得相同的功能。
这样的事情应该有效:
if (!in_array($word,array('and','the','him','her','for','new','you'))){
$safe = $conn->quote('%'.$word.'%');
$shortwords.= " OR (fname LIKE $safe OR lname LIKE $safe) ";
} //search for words
虽然offset和postnumbers不是很容易被注入,但它们绑定它们仍然可能会很好,这会使查询更具可读性,但这只是我的看法。
另外,您可能需要考虑在foreach之外定义单词列表数组。目前,解释器在循环的每次迭代中重建数组。同样,这不是一个大问题,但值得一提。