mysqli bind_param变量数与prepared语句中的参数数不匹配

hfwmuf9z 于 2021-06-17 发布在 Mysql

关注(0)|答案(1)|浏览(357)

我得到这个错误：
警告：mysqli_stmt:：bind_param（）：变量数与准备语句中的参数数不匹配
代码：

$stmt = $sql->prepare("SELECT name, site, message, `when` FROM messages WHERE message LIKE '%?%'");
$stmt->bind_param('s', $_GET['search']);
$stmt->execute();
$result = $stmt->get_result();

我正在尝试将用户输入输入到准备好的语句中。
此代码工作正常，但对sql注入不安全：

$result = $sql->query("SELECT name, site, message, `when` FROM messages WHERE message LIKE '%" . $_GET['search'] . "%'");

mysql php mysqli sql-injection

来源：https://stackoverflow.com/questions/53738786/mysqli-bind-param-number-of-variables-doesnt-match-number-of-parameters-in-prep

1条答案

按热度按时间

s2j5cfk01#

使用时 LIKE 在事先准备好的声明中，情况有点不同。你应该添加 % 在将参数绑定到语句之前。
尝试以下操作：

$param = "%{$_GET['search']}%";
$stmt = $sql->prepare("SELECT name, site, message, `when` FROM messages WHERE message LIKE ?");
$stmt->bind_param('s', $param);
$stmt->execute();
$result = $stmt->get_result();

赞(0）回复(0）举报 2021-06-18

我来回答

mysqli bind_param变量数与prepared语句中的参数数不匹配

1条答案

相关问题

热门标签

最新问答