創建數據庫搜索欄查詢

Question

我想創建一個簡單的搜索欄，允許用戶搜索使用用戶ID來返回特定用戶。

我需要包含SQL注入保護。

當前頁面加載空白屏幕，但是當我刷新頁面時，我得到「未找到結果」響應。

任何幫助表示讚賞。我一直在閱讀很多關於搜索欄的帖子，但沒有任何幫助。

這裏是代碼：

<html> 
<head> 
<title></title> 
</head> 
<body> 
<form action="search.php" method="POST"> 
    <input type="text" name="search" /> 
    <input type="submit" value="Search" /> 
</form> 
</body> 



<?php 
//search.php 
    include("DbConnect.php"); 

    $search = $_POST['search']; 

    $safesearch = mysqli_real_escape_string($search); 

    $Query = "SELECT user_id 
      FROM users 
      WHERE user_id = '$safesearch'"; 

    $Result = mysqli_query($DB,$Query);  

    $NumResults = mysqli_num_rows($Result); 

    if ($NumResults==1) 
    {  
     echo "<h1>results: ".$Result."</h1>"; 
    }else{ 
     echo "<h1>No Results found</h1>"; 
    } 
?> 

Answer 1

你應該有一個if（isset（$ _ POST [「提交」] {}包圍你的代碼，所以只有當他們搜索的火災，而不是當頁面加載。

如果你做任何形式的插入，選擇或使用SQL語句更新，將有在其中的變量，你應該使用準備好的語句。

使用事先準備好的聲明這是一個很多比你更安全」重新做：

<?php 
//search.php 
    include("DbConnect.php"); 

    $search = $_POST['search']; 

    $safesearch = mysql_real_escape_string($search); 

    $Query = "SELECT user_id 
      FROM users 
      WHERE user_id = ?"; 

    $stmt = $connectionVariableName->prepare($query); 
    $stmt->bind_param("s",$safesearch); 
    $stmt->execute(); 
    $stmt->bind_result($result); 
    $stmt->fetch(); 
    $num_rows = $stmt->num_rows; 
    $stmt->close(); 

    if ($num_rows > 0) 
    {  
     echo "<h1>results: ".$result."</h1>"; 
    }else{ 
     echo "<h1>No Results found</h1>"; 
    } 
?> 

http://php.net/manual/en/mysqli.prepare.php

你也應該用正則表達式測試它消毒搜索變量，以確保它僅包含你允許的用戶ID的字符，而不是/ * ^等

Answer 2

你想要的部分短語搜索，我猜。

然後你的查詢必須是這樣的：

$Query = "SELECT user_id 
      FROM users 
      WHERE user_id LIKE '%$safesearch%'"; 

不是很熟悉PHP，但象徵％似乎不是在語言（糾正我，如果我錯了）的特殊字符，如果偶然的是 - 逃避它。

爲了使它不區分大小寫 -

$safesearch = strtolower($safesearch); 

$Query = "SELECT user_id 
       FROM users 
       WHERE lowercase(user_id) LIKE '%$safesearch%'";