将包含的AJAX文件MySqli Query转换为参数化

时间:2017-05-21 14:57:11

标签: php mysql ajax mysqli parameters

我创建了一个实时搜索系统,我希望将用于参数化的查询转换为防止注入。

我没有太多运气,因为它使用:'%'。$ _ POST [“search”]。“%”而不是我通常会替换的常规变量:search

这就是我想要转换为参数化的所有内容,保留相同的变量名称:

$model_search_query = "SELECT * FROM models WHERE model LIKE '%".$_POST["search"]."%'";
$model_search_query_pass = mysqli_query($cameras, $model_search_query);

感谢您的任何帮助

0 个答案:

没有答案