如何使用 PHP 运行 PostgreSQL LIKE 查询

Question

假设我想像这样运行查询：

$q = "SELECT * FROM items WHERE name LIKE $1";
$r = pg_query_params($dbconn, $q, array("%" .  $ss . "%"));

如果用户为$ss 提供了带有% 或_ 的字符串，则可能会出现问题。如何告诉引擎不要将$ss 中的% 和_ 视为特殊符号？

---

现在我的方法是

$q = "SELECT * FROM items WHERE name LIKE $1 ESCAPE '\'";
$r = pg_query_params($dbconn, 
         $q, 
         array("%" . str_replace("%", "\%", str_replace("_", "\_", $ss)) . "%"));

但是如果转义字符 (\) 是字符串中的最后一个字符，那么附加的 % 也会被转义。

Answer 1

第一个建议是避开LIKE。做吧：

SELECT * FROM items WHERE position($1 in name) > 0;

那么你就不用担心特殊字符了。

您可以使用 ESCAPE 。 . .但你需要一些不在字符串中的东西，比如~。

SELECT * FROM items WHERE name LIKE $1 ESCAPE '~'

那么当你绑定参数时：

$r = pg_query_params($dbconn, $q,
                     array("%" . str_replace(str_replace($ss, "_", "~_"), "%", "~%") . "%"));

您可以通过加倍来转义转义字符。那只是另一个str_replace()：

$r = pg_query_params($dbconn, $q,
                     array("%" . str_replace(str_replace(str_replace($ss, "~", "~~"), "_", "~_"), "%", "~%") . "%"));

或者，利用LIKE一个功能，让用户输入通配符，因为这样他们就有了更强大的搜索能力。