와일드 카드 SQL 검색 PHP

Question

<form name="attdate" action="keyword.php" method="post"> 
     Enter Keyword :<input name = "key"> 
     <button class='btn btn-lg btn-danger' type ="submit"> Search Records</button> 

내가 키워드 (와일드 카드) 검색 내 VARCHAR 필드를 조회하면된다하려고 : I 조회 할 행의 필드는 'HS는

''nv ''vsa '.

내 PHP는 다음과 같습니다

<?php 


include 'config.php'; 

$key = ($_POST['key']); 



$key = mysqli_real_escape_string($con,$key); 



$sql = "SELECT * FROM handover WHERE hs LIKE "%'.$key.'%" 
OR WHERE nv LIKE "%'.$key.'%" 
OR WHERE vsa LIKE "%'.$key.'%""; 


$result = mysqli_query($con,$sql); 

$count=mysqli_num_rows($result); 

if($count==0){ 

echo "</br></br></br></br></br></br></br><h2>Handover Details</h2><p> No Matching 

results found</p>"; 
} 
else{ 
while($row = mysqli_fetch_array($result)) { 
echo '</br></br></br></br></br>'; 

나는 내가 %를 걸었 곳이있을 것 같아요. 이 문제는 인덱스가 인덱스에 포함되어 있지 않은 것입니까? 사전

Answer 1

에서

덕분에, 당신의 인용 순서를 변경 한 처음에 시세 및 쿼리의 끝, 또는 그 반대를 배치

.

$sql = 'SELECT * FROM handover WHERE hs LIKE "%'.$key.'%" 
OR WHERE nv LIKE "%'.$key.'%" 
OR WHERE vsa LIKE "%'.$key.'%"'; 

은 또한 쿼리 문자열에 직접 변수를 주입하기보다는 쿼리를 parameterise해야합니다. 이 도움이 될 것입니다 당신 Prevent SQL Injection!

UPDATE : 매개 변수화 쿼리의 예 :

$mysqli = new mysqli("host", "user", "password", "database");// connection 
$key = $_POST['key']; 
$query = $mysqli->prepare("SELECT * FROM handover WHERE hs LIKE ? OR WHERE nv LIKE ? OR WHERE vsa LIKE ?"); // note how simple in this case, no quoting problems 
$stmt->bind_param("sss", $key, $key, $key); // binding a string which replaces ?, once for each ? (repeats in your case) 
$stmt->execute();