나는 전원에게 검색 내 프로그램에서 함수를 작성하려고 해요 :PDO/MYSQL 준비 문이 이스케이프 문자가 아닙니까?
$search = "%".$_POST['search']."%";
$query=$connection->prepare("SELECT * FROM TABLE WHERE COLUMN LIKE ?");
$query->execute(array($search));
그러나, 사용자가 단순히 %를 입력 할 수있는 것으로 보인다 및 그것은 모든 결과를 반환합니다. 어떻게 이런 일이 일어나지 않도록합니까? 준비된 문장을 사용하면 이러한 문자를 이스케이프했을 것입니다. 다른 문자 (\, ', 등)에도 적용됩니까? 이 문제를 어떻게 해결할 수 있습니까?