dqsot35145 2013-01-10 22:31
浏览 83
已采纳

PHP / MySQL:使用预处理语句在WHERE子句中使用数组元素

I want to make a "dynamic" WHERE clause in my query based on a array of strings. And I want to run the created query using Mysqi's prepared statements.

My code so far, PHP:

$searchArray = explode(' ', $search);
$searchNumber = count($searchArray);
$searchStr = "tags.tag LIKE ? ";
for($i=1; $i<=$searchNumber-1 ;$i++){
    $searchStr .= "OR tags.tag LIKE ? ";
}

My query:

SELECT tag FROM tags WHERE $searchStr;

More PHP:

$stmt -> bind_param(str_repeat('s', count($searchArray)));

Now this obviously gives me an error since the bind_param part only contains half the details it need.

How should I proceed?

Are there any other (better) way of doing this?

Is it secure?

  • 写回答

3条回答 默认 最新

  • doushang4274 2013-01-11 20:09
    关注

    Solved it by the help of an answer found here.

    $query = "SELECT * FROM tags WHERE tags.tag LIKE CONCAT('%',?,'%')" . str_repeat(" OR tags.tag LIKE CONCAT('%',?,'%')", $searchNumber - 1)

$stmt = $mysqli -> prepare($query);
$bind_names[] = str_repeat('s', $searchNumber);

for ($i = 0; $i < count($searchArray); $i++){
   $bind_name = 'bind'.$i; //generate a name for variable bind1, bind2, bind3...
   $$bind_name = $searchArray[$i]; //create a variable with this name and put value in it
   $bind_names[] = & $$bind_name; //put a link to this variable in array
}

call_user_func_array(array($stmt, 'bind_param'), &$bind_names);

$stmt -> execute();
    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(2条)

报告相同问题?

  • PHP MySQL 预处理语句:读取数据:Where子句.md
    2024-06-13 16:21
    PHP 使用 MySQL 预处理语句(Prepared Statements)是一种非常推荐的方法来执行数据库操作,特别是在涉及到用户输入的情况下。预处理语句通过将数据与 SQL 查询语句分离的方式帮助防止 SQL 注入攻击,这是...
  • PHP系列」PHP MySQL 预处理语句/读取数据/Where子句
    2024-05-07 00:30
    ·零落·的博客 PHP 使用 MySQL 预处理语句(prepared statements)是一种推荐的方式来执行数据库操作,特别是当涉及到用户输入时。你可以使用其他字符来表示其他类型,如 “i” 表示整数,“d” 表示双精度浮点数,“b” 表示...
  • mysqlin的参数怎么预处理,php – 如何在mysqli预处理语句使用IN子句
    2021-04-21 05:42
    yannqing的博客 $ids = '123,535,345,567,878'$sql = "SELECT * FROM table WHERE id IN ($ids)";...将其转换为mysqli和预处理语句我尝试了许多解决方案:$ids = '123,535,345,567,878'$ids = implode($ids,',');$result = $msqli-&...
  • mysql 预处理语句_预处理语句
    2021-02-07 22:21
    shen0085的博客 MySQL 8.0支持服务器端预处理语句。这种支持利用了有效的客户端/服务器二进制协议。对参数值使用带占位符的预处理语句具有以下好处:每次执行语句时解析语句的开销都较小。通常,数据库应用程序处理大量几乎相同的...
  • mysql预处理语句_MYSQL 预处理语句
    2021-01-18 23:02
    吾心指南的博客 通常,数据库应用程序会处理大量相似的语句,只在子句更改文字或变量值,比如查询和删除的WHERE子句,更新的UPDATE子句,插入的VALUES子句。防止SQL注入攻击。参数值可以包含非转义的SQL引用以及分隔符号。你可以....
  • mysql创建视图需要使用什么语句_mysql如何创建视图?创建语句是什么?
    2021-02-03 07:36
    逍遥Eric的博客 “”不能包含FROM子句的子查询,不能引用预处理语句参数。(推荐教程:mysql视频教程)创建视图是指在已经存在的 MySQL 数据库表上建立视图。视图可以建立在一张表,也可以建立在多张表。基本语法可以使用 ...
  • PHP MySQL Order By:Update:Delete.md
    2024-06-13 16:19
    PHP使用MySQL进行数据库操作时,经常会遇到需要根据特定字段来排序查询结果的需求。此时,`ORDER BY`子句就显得尤为重要。通过使用`ORDER BY`,我们可以控制查询结果的返回顺序,这对于数据分析和展示都非常有用...
  • MySQL 可以使用什么语句创建视图_mysql如何创建视图?创建语句是什么?
    2021-01-31 00:19
    weixin_39937524的博客 “”不能包含FROM子句的子查询,不能引用预处理语句参数。创建视图是指在已经存在的 MySQL 数据库表上建立视图。视图可以建立在一张表,也可以建立在多张表。基本语法可以使用 CREATE VIEW 语句来创建视图...
  • Php使用Select 查询语句的实例
    2020-10-26 06:22
    在本文,我们将具体介绍如何在PHP使用SELECT语句查询MySQL数据库,并提供相关的代码示例和常见问题的解决方案。 首先,PHP连接MySQL数据库的基本步骤如下: 1. 使用`mysql_connect`函数建立到MySQL数据库的...
  • PHP实现的通过参数生成MYSQL语句类完整实例
    2020-10-22 13:40
    PHP通过参数生成MySQL语句的类是一个非常实用的工具,它能够根据提供的参数自动生成基本的SQL语句,如SELECT、INSERT、UPDATE和DELETE等。这在数据库操作极为常见,可以极大地提高开发效率和减少重复代码的...
  • mysql 创建视图需要使用_语句_在MySQL创建视图的X种方式
    2021-02-05 08:53
    李南孚的博客 在本教程,您将学习如何使用CREATE VIEW语句MySQL创建视图。CREATE VIEW语句简介要在MySQL创建新视图,请使用CREATE VIEW语句。 在MySQL创建视图的语法如下:CREATE[ALGORITHM = {MERGE | TEMPTABLE | ...
  • PHP实现连接mysql和增删改查(源代码)
    2024-04-29 22:49
    1. **SQL 注入**:在生产环境,建议使用预处理语句(Prepared Statements)来防止 SQL 注入攻击。 ```php $stmt = $conn->prepare("INSERT INTO mytable (column1, column2, column3) VALUES (?, ?, ?)"); $...
  • phpmyadmin显示MySQL数据表“使用” 修复后依然无效的解决方法
    2020-12-15 03:33
    在本例,通过phpmyadmin检查数据库时,发现有三个数据表显示为“使用”,这可能是由于MySQL表在处理过程遇到了问题,导致无法正常关闭或释放资源。尝试通过phpmyadmin的“修复表”、“分析表”和“优化表”...
  • PHP+Mysql实现多关键字与多字段生成SQL语句的函数
    2020-10-25 07:05
    PHPMySQL开发,构建灵活的SQL查询语句是一项重要的技能,特别是在处理用户输入的多关键字和多字段搜索时。本示例介绍了一个PHP函数,该函数可以帮助我们根据输入的关键字和字段生成对应的SQL WHERE子句,从而...
  • 没有解决我的问题, 去提问