我想要盲我的MySql查詢我小白在這,我想阻止SQL注入我的查詢。這是我的發言,但有一個錯誤錯誤與mysql語句
$sql = $conn ->prepare("SELECT * FROM Personas WHERE concat(nombre1,' ',apellido1) LIKE '% :name %'");
$sql-> bind_param('name', $q);
Warning: mysqli_stmt::bind_param(): Number of variables doesn't match number of parameters in prepared statement in
這項工作很好,但是這是一個不錯的方法
$sql="SELECT * FROM Personas WHERE concat(nombre1,' ',apellido1) LIKE '%".$q."%';
請幫我這個,我可以用什麼樣的方式來保護我的查詢在我的PHP代碼
謝謝所有,這是我的解決方案
$sql = $conn ->prepare('SELECT * FROM Personas WHERE concat(nombre1," ",apellido1) LIKE ? ');
$key = "%".$q."%";
$sql-> bind_param('s', $key);
這條語句在phpmyadmin中工作正常SELECT * FROM Personas WHERE concat(nombre1,'',apellido1)LIKE'%jo%' – Heisenberg06