我目前有一个只有两个元素的小型搜索表单:一个名为的文本输入search
和一个名为param
. 在该框中选择的选项应用作参数来选择将获取我的数据库中的哪个表列。
使用mysql_
函数,可以这样做:
$param = $_POST['param' ];
$search = $_POST['search'];
$query = 'SELECT * FROM table WHERE $param LIKE "%$search%"';
但我无法让它与mysqli_
语法一起工作。我正在尝试使用准备好的语句,但到目前为止我所做的最好的是:
$param = $_POST['param' ];
$search = $_POST['search'];
if($param == 'first_name')
{
if($prep = $link->prepare('SELECT * FROM table
WHERE first_name
LIKE CONCAT("%", ?, "%")'))
{
$prep->bind_param('s', $search);
$prep->execute();
$prep->bind_result($first_name, $last_name);
while($prep->fetch())
echo $first_name . ' ' . $last_name;
$prep->close();
}
else
echo 'Error while preparing statement.';
}
else if($param == 'last_name')
{
...
}
但是仅仅使用一堆else if
s 似乎很重复且没有效率,特别是如果我有很多列要处理。
我尝试的第一件事是参数绑定 -... WHERE ? LIKE ...
和$prep->bind_param('ss', $param, $search)
-,但它不起作用(我仍然不知道为什么)。
有没有更智能的方法呢?