准备好的语句没有返回所需的多个结果

Question

在得到How to perform a LIKE query using multiple keywords from search field using mysqli prepared statement 的帮助后，我做了这个功能，但做了一些更改，因为我只有一个搜索参数。

function searchResult($con, $search) {
   $keywords = explode(" ", $search);
   $total_keywords = count($keywords);
   $myquery = "SELECT * FROM products WHERE name LIKE CONCAT('%',?,'%')";
      for ($i=1 ; $i < $total_keywords; $i++) {
          $myquery .= " OR name LIKE CONCAT('%',?,'%')";
      }
   $stmt = mysqli_stmt_init($con);
   //check if the statement is not prepared
   if (!mysqli_stmt_prepare($stmt, $myquery)) {
       header("location: search.php?errorid=stmt_failed");
       exit();
   }
   $typeparam = '';
   foreach ($keywords as $key => $value) {
       $typeparam .= 's';
   }
   $bind_param = array();
   $bind_param[] =& $typeparam;
   foreach ($keywords as $key => $value) {
       $bind_param[]=&$keywords[$key];
   }
   call_user_func_array(array($stmt,'bind_param'), $bind_param);
   mysqli_stmt_execute($stmt);
   $matches = mysqli_stmt_get_result($stmt);
   if ($searches = mysqli_fetch_assoc($matches)) {
       return $searches;
   } else {
       $result = false;
       return $result;
   }
   mysqli_stmt_close($stmt);
}

现在，我有一个名为 products 的表，在该表中我有：

尼康油漆桶

砖块

亚洲油漆 2 升蓝色饰面

PVC管

当我只搜索砖块时，它返回 砖块，同样返回所有其他产品。但是，通过搜索 bricks paint，它只返回 Nikon Paint bucket，但它应该返回 Bricks 以及表中的 Paint 结果。所以，有两个问题，一个是它没有考虑多个关键字。另一个问题是，它不会返回具有相同关键字的两个结果。

此外，Prepared statements 是防止 SQL 注入的最佳方法，但在搜索栏中使用它是否明智，因为 mysqli_real_escape_string() 似乎效率低下。有没有其他方法可以制作安全的搜索栏？

Answer 1

您的函数只返回结果集中的一行。调用 mysqli_fetch_assoc() 只会产生一行。

如果你想从结果集中获取所有行，你应该调用mysqli_fetch_all()。我已经清理了实现并使用了mysqli_fetch_all()，它会给你一个行数组。

function searchResult(mysqli $con, string $search): array
{
    $keywords = explode(" ", $search);
    $total_keywords = count($keywords);
    $myquery = "SELECT * FROM products WHERE name LIKE CONCAT('%',?,'%')";
    for ($i = 1; $i < $total_keywords; $i++) {
        $myquery .= " OR name LIKE CONCAT('%',?,'%')";
    }
    $stmt = mysqli_prepare($con, $myquery);
    mysqli_stmt_bind_param($stmt, str_repeat('s', $total_keywords), ...$keywords);
    mysqli_stmt_execute($stmt);
    $matches = mysqli_stmt_get_result($stmt);

    return mysqli_fetch_all($matches, MYSQLI_ASSOC);
}

别忘了启用mysqli error reporting。

但是，如果可以，我强烈建议您使用 PDO。 PDO 更容易使用。考虑使用 PDO 实现相同的功能：

function searchResult(PDO $con, string $search): array
{
    $keywords = explode(" ", $search);
    $total_keywords = count($keywords);
    $myquery = "SELECT * FROM products WHERE name LIKE CONCAT('%',?,'%')";
    for ($i = 1; $i < $total_keywords; $i++) {
        $myquery .= " OR name LIKE CONCAT('%',?,'%')";
    }
    $stmt = $con->prepare($myquery);
    $stmt->execute($keywords);
    return $stmt->fetchAll(PDO::FETCH_ASSOC);
}