我在我的php函数中有一个变量,它被传递给SQL查询。我想知道如何在没有实际将其变成字符串的情况下追加“和”它的任何一面?
感谢。
答案 0 :(得分:3)
如果可以的话,你应该考虑使用预备语句。在PHP中,mysqli和PDO库都支持它们。这允许您在查询中创建占位符,然后将值绑定到它们,而无需操作SQL文本本身。
通过这样做,您既可以节省自己的麻烦,也可以保护自己免受意外的SQL注入漏洞,不再需要记住转义字符串。
答案 1 :(得分:2)
回答你的问题:
$name = "Peter";
$query = " SELECT * FROM table WHERE name LIKE '$name' ";
您之前所有的评论/答案都是有效的,应予以考虑。 如果你想避免与SQL注入相关的问题,请记住准备好的语句是好的。