Utilizzo dei parametri denominati con PDO per LIKE

Question

Sto cercando di cercare il campo name nel mio database utilizzando LIKE. Se ordino l'SQL "a mano" in questo modo:

$query = "SELECT * \n" 
     . "FROM `help_article` \n" 
     . "WHERE `name` LIKE '%how%'\n" 
     . ""; 
$sql = $db->prepare($query); 
$sql->setFetchMode(PDO::FETCH_ASSOC); 
$sql->execute(); 

Quindi restituirà risultati rilevanti per "come".
Tuttavia, quando mi rivolgo in una dichiarazione preparata:

$query = "SELECT * \n" 
     . "FROM `help_article` \n" 
     . "WHERE `name` LIKE '%:term%'\n" 
     . ""; 
$sql->execute(array(":term" => $_GET["search"])); 
$sql->setFetchMode(PDO::FETCH_ASSOC); 
$sql->execute(); 

sto ottenendo sempre risultati zero.

Cosa sto sbagliando? Sto usando le dichiarazioni preparate in altri posti nel mio codice e funzionano bene.

Answer 1

Il limite :placeholders non deve essere racchiuso tra virgolette singole. In questo modo non verranno interpretati, ma trattati come stringhe non elaborate.

Quando si desidera utilizzare uno come LIKE modello, quindi passare il % insieme al valore:

$query = "SELECT * 
      FROM `help_article` 
      WHERE `name` LIKE :term "; 

$sql->execute(array(":term" => "%" . $_GET["search"] . "%")); 

Oh, e in realtà è necessario pulire la stringa di input prima qui (addcslashes). Se l'utente fornisce caratteri estranei % all'interno del parametro, diventano parte del modello di corrispondenza LIKE. Ricordare che l'intero parametro :term viene passato come valore stringa e tutti i % s all'interno di tale stringa diventano segnaposto per la clausola LIKE.