MySQL中的PHP循环和绑定查询
上下文 我正在尝试使用PHP和MySQL编写一个高效、安全的搜索脚本,以防止SQL注入尝试。我正在使用MySQLi函数套件,专门将用户输入绑定到数据库查询。因为用户可能一次搜索多个单词,所以我开发了一种方法,可以将变量动态绑定到MySQLi查询,但却陷入了一个特定的位置 我有一个用户示例表和一个用户所有技能表:MySQL中的PHP循环和绑定查询,php,mysql,sql,mysqli,Php,Mysql,Sql,Mysqli,上下文 我正在尝试使用PHP和MySQL编写一个高效、安全的搜索脚本,以防止SQL注入尝试。我正在使用MySQLi函数套件,专门将用户输入绑定到数据库查询。因为用户可能一次搜索多个单词,所以我开发了一种方法,可以将变量动态绑定到MySQLi查询,但却陷入了一个特定的位置 我有一个用户示例表和一个用户所有技能表: USERS: SKILLS: ID | Username Userid | Skill 1 | Patty 1
USERS: SKILLS:
ID | Username Userid | Skill
1 | Patty 1 | Decorating
2 | Billy 1 | Renovating
2 | Painting
2 | Flooring
$searched = explode (' ', stripslashes ($search)); // What the visitor searched for
$bindParam = new BindParam (); // Initiate the dynamic binding class
$qArray = array ();
foreach ($searched as $sd) {
$sd = trim ($sd);
if ($sd != '') {
$qArray[] = 'skills.skill LIKE CONCAT(?,\'%\')'; // Use arrays to construct part of the dynamic query
$bindParam->add ('s', $sd); // Users are searching for strings so use 's' as opposed to 'i' for integer for example
}
}
$query = "SELECT username FROM users WHERE users.id IN (SELECT skills.userid FROM skills WHERE ";
$query .= implode (' OR ', $qArray);
$query .= ")"; // Join the query together
$stmt = $mysqli->prepare ($query) or die ("Prepare failed: (" . $mysqli->errno . ") " . $mysqli->error);
call_user_func_array (array ($stmt, "bind_param"), $bindParam->get ()); // Bind the variables to the query
$stmt->execute ();
$stmt->store_result ();
if ($stmt->num_rows > 0) {
$stmt->bind_result ($username);
$searchoutput = array ();
while ($stmt->fetch ()) {
$searchoutput[] = $username; // send all usernames to an array
}
print_r ($searchoutput); // print all contents of the array
}
Array ( [0] => patsy [1] => billy )
Array ( [0] => patsy [1] => patsy [2] => billy )
除非我根据搜索词的数量将查询合并到一个循环中,否则我如何解决这个问题?我建议使用联接,而不是子查询:
SELECT username FROM users
JOIN skills ON users.id=skills.userid
WHERE
skills.skill LIKE CONCAT(?,\'%\')
OR skills.skill LIKE CONCAT(?,\'%\')
OR ...
当用户名与多种技能匹配时,应多次显示用户名。查看最终执行的查询文本。这是这里唯一重要的事情,完美地解释了行为:
a或a或ba或ba或a->a