PHP中的SQL,使用LIKE进行部分搜索

时间:2019-02-05 15:42:22

标签: php mysql sql

我正在尝试使PHP中的SQL返回与用户(从搜索栏输入)的关键字匹配的所有条目。 我想返回其名称“ partial”与关键字匹配的所有条目。 如果数据库中的条目名称之前有空格,可能在另一个字母/空格之后,我至少要匹配关键字。 例如,我有三个条目,名称分别为“牛奶”,“半脱脂牛奶”和“全脂牛奶2”。如果关键字是“ Milk”或“ milk”或“ MiLK”,我想获得所有这三个条目。 我认为唯一的问题可能是大小写敏感。 我尝试使用数据库中完全存在的关键字,但是我的应用程序(在android上)停止了。

基于user3783243的答案。

PHP文件

<?php
$servername = "";
$username = "";
$password = "";
$dbname = "";

// Create connection
$conn = new mysqli($servername, $username, $password, $dbname);
// Check connection
if ($conn->connect_error) {
    die("Connection failed: " . $conn->connect_error);
} 

$sql = "SELECT name FROM items WHERE name LIKE CONCAT ('%', ?, '%')";
$stmt = $conn->prepare($sql);
$stmt->bind_param("s", $keyword);
$res = $stmt->get_result();
while($row = $res->fetch_assoc()) {
     echo $row["name"] . ",";
}

if ($result->num_rows > 0) {
    // output data of each row
    while($row = $result->fetch_assoc()) {
        echo $row["name"] . ",";
    }
} else {
    echo "0";
}
$conn->close();
?>

2 个答案:

答案 0 :(得分:0)

您的查询应为:

$sql = "SELECT * FROM items WHERE name LIKE CONCAT ('%', ?, '%')";

然后$keyword应该与您使用的驱动程序支持的语法绑定。

您的查询原为:

SELECT * FROM items WHERE name LIKE CONCAT ('%', Milk, '%')

,并且您希望Milk是一个字符串,因此需要用引号引起来。就像mysql那样认为那是一列。

或者,您可以执行以下操作:

$keyword = '%' . $_POST['keyword'] . '%';
$sql = "SELECT * FROM items WHERE name LIKE CONCAT ?";

相同,但是仍然需要绑定。

绑定也取消了SQL注入。参见How can I prevent SQL injection in PHP?和/或https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet#Defense_Option_1:_Prepared_Statements_.28with_Parameterized_Queries.29

每次更新..替换:

$keyword =$_POST['keyword']; 
$sql = "SELECT * FROM items WHERE name LIKE '%$keyword%)";
$result = $conn->query($sql);

具有:

$sql = "SELECT name FROM items WHERE name LIKE CONCAT ('%', ?, '%')";
$stmt = $conn->prepare($sql);
$stmt->bind_param("s", $keyword);
$stmt->execute();
$res = $stmt->get_result();
if(empty($conn->errno) && !empty($res)) { 
     while($row = $res->fetch_assoc()) {
          echo $row["name"] . ",";
     }
} else {
     echo '0';
     //print_r($conn->errno);
}
$conn->close();

...

也删除

if ($result->num_rows > 0) {
    // output data of each row
    while($row = $result->fetch_assoc()) {
        echo $row["name"] . ",";
    }
} else {
    echo "0";
}
$conn->close();

答案 1 :(得分:0)

在这种情况下,您可以默认将搜索栏中的输入转换为大写或小写,然后在db之类的数据库中应用查询

大写:

$keyword =strtoupper($_POST['keyword']); 
$sql = "SELECT * FROM items WHERE upper(name) LIKE '%$keyword%)";

或小写:

$keyword =strtolower($_POST['keyword']); 
$sql = "SELECT * FROM items WHERE lower(name) LIKE '%$keyword%)";
相关问题
最新问题