问题描述
我正在使用以下代码搜索和显示sql的结果。 我的问题-是sql注入证明吗? 我相信不是,我尝试将其转换为准备好的语句。 但是,SQL查询本身分为三部分,这使得修复它变得困难。 如果可能的话,请告诉我如何在其中添加准备好的语句。
$query = "
SELECT * FROM filter
";
if($_POST['query'] != '')
{
$query .= '
WHERE product_name LIKE "%'.str_replace(' ','%',$_POST['query']).'%"
';
}
$query .= 'ORDER BY releasedate DESC ';
$filter_query = $query . 'LIMIT '.$start.','.$limit.'';
$statement = $connect->prepare($query);
$statement->execute();
$total_data = $statement->rowCount();
$statement = $connect->prepare($filter_query);
$statement->execute();
$result = $statement->fetchAll();
$total_filter_data = $statement->rowCount();
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)