我创建了一个实时搜索系统,我希望将用于参数化的查询转换为防止注入。
我没有太多运气,因为它使用:'%'。$ _ POST [“search”]。“%”而不是我通常会替换的常规变量:search
这就是我想要转换为参数化的所有内容,保留相同的变量名称:
$model_search_query = "SELECT * FROM models WHERE model LIKE '%".$_POST["search"]."%'";
$model_search_query_pass = mysqli_query($cameras, $model_search_query);
感谢您的任何帮助