微信公众号 讲师中心
首页
文章
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机/移动开发 手机游戏
搜索
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程
自媒体 新闻
首页 > 后端开发 > php教程 > 正文

优化PHP/MySQL模糊搜索:处理多词查询与安全最佳实践

碧海醫心
发布: 2025-11-17 11:42:06
原创
594人浏览过

优化PHP/MySQL模糊搜索:处理多词查询与安全最佳实践

本文旨在解决php/mysql模糊搜索中包含空格的多词查询问题,并强调sql注入防护的重要性。我们将探讨如何利用php的`explode`函数将搜索短语拆分为多个关键词,并结合mysql的`like`子句构建更灵活的查询逻辑。核心内容将聚焦于使用php的`mysqli`预处理语句实现安全的、支持多词搜索的功能,确保数据交互的可靠性与安全性。

在开发基于PHP和MySQL的应用程序时,实现一个高效且安全的搜索功能是常见的需求。然而,当用户输入的搜索关键词包含空格(即多词查询)时,传统的CONCAT_WS结合单个LIKE子句的方法往往无法产生预期结果。例如,搜索“test 2”可能无法找到“test”在某一列,“2”在另一列的记录,而搜索“test2”或“2test”却能成功。此外,直接将用户输入拼接到SQL查询字符串中会引入严重的安全漏洞——SQL注入。本教程将详细介绍如何解决这些问题,构建一个既能处理多词查询又具备SQL注入防护能力的搜索功能。

1. 理解传统模糊搜索的局限性

原始代码中使用的CONCAT_WS函数将多个列的内容连接成一个字符串,然后使用LIKE '%".$valueToSearch."%'进行模糊匹配。

SELECT * FROM `master` WHERE CONCAT_WS(`id`, `office`, `firstName`, ...) LIKE '%".$valueToSearch."%'
登录后复制

这种方法的问题在于:

  • 空格处理不当: 当$valueToSearch为“test 2”时,它会尝试在连接后的字符串中查找“test 2”这个完整的短语。如果“test”和“2”分别位于不同的列,或者它们之间没有空格(在CONCAT_WS连接后),则无法匹配。例如,CONCAT_WS('test', '2')的结果是test2,而不是test 2。
  • SQL注入风险: 最严重的问题是,$valueToSearch直接通过字符串拼接的方式嵌入到SQL查询中。恶意用户可以构造特殊的输入,从而改变查询的意图,导致数据泄露、篡改甚至删除。

2. 解决多词查询:利用PHP explode 和 SQL LIKE

为了正确处理包含空格的多词查询,我们需要将用户输入的搜索短语拆分成独立的关键词,然后为每个关键词构建单独的LIKE条件。

立即学习PHP免费学习笔记(深入)”;

核心思路:

  1. 使用PHP的explode()函数将用户输入的搜索字符串按空格分割成一个关键词数组。
  2. 遍历关键词数组,为每个关键词在目标列中生成LIKE '%关键词%'的条件。
  3. 将这些条件组合起来,通常使用AND逻辑(表示所有关键词都必须匹配)或OR逻辑(表示任意关键词匹配即可)。对于本场景,通常希望所有关键词都能在某个列中找到,所以AND逻辑更符合预期。

示例:构建动态 WHERE 子句

纳米搜索
纳米搜索

纳米搜索:360推出的新一代AI搜索引擎

纳米搜索 30
查看详情 纳米搜索

假设搜索词是“John Doe”,我们希望在firstName和lastName列中查找。

  • explode(' ', "John Doe") 会得到 ['John', 'Doe']。
  • 生成的SQL条件可能类似于: WHERE (firstName LIKE '%John%' OR lastName LIKE '%John%') AND (firstName LIKE '%Doe%' OR lastName LIKE '%Doe%')

3. 实施SQL注入防护:使用预处理语句(Prepared Statements)

在构建动态SQL查询时,防止SQL注入是至关重要的。PHP的mysqli扩展提供了预处理语句(Prepared Statements)功能,可以有效隔离SQL代码和用户输入的数据。

预处理语句的工作原理:

  1. 准备(Prepare): 将带有占位符(?)的SQL模板发送到数据库服务器。
  2. 绑定参数(Bind Parameters): 将用户输入的数据绑定到占位符上,数据库服务器会将其视为纯数据,而不是可执行的SQL代码。
  3. 执行(Execute): 执行预处理好的语句。

通过这种方式,即使$valueToSearch包含恶意SQL代码,数据库也会将其作为普通字符串进行匹配,而不是执行它。

4. 完整的安全多词搜索实现

下面是结合了多词查询处理和SQL注入防护的PHP/MySQLi代码示例:

<?php

/**
 * 安全地执行SQL查询,支持多词模糊搜索和SQL注入防护。
 *
 * @param string $valueToSearch 用户输入的搜索字符串。
 * @return mysqli_result|false 查询结果集或失败时返回false。
 */
function filterTableSecure($valueToSearch) {
    // 数据库连接参数,请替换为您的实际凭据
    $db_host = "localhost";
    $db_user = "your_db_user";     // 请替换为您的数据库用户名
    $db_pass = "your_db_password"; // 请替换为您的数据库密码
    $db_name = "your_db_name";     // 请替换为您的数据库名称

    $connect = mysqli_connect($db_host, $db_user, $db_pass, $db_name);
    if (!$connect) {
        die("数据库连接失败: " . mysqli_connect_error());
    }

    // 定义需要搜索的列
    $columnsToSearch = [
        'id', 'office', 'firstName', 'lastName', 'type', 'status',
        'deadline', 'contactPref', 'email', 'phoneNumber', 'taxPro'
    ];

    // 分割搜索词,并过滤掉空字符串
    $searchWords = array_filter(explode(' ', $valueToSearch));

    $globalConditions = []; // 存储每个搜索词的条件组 (e.g., (col1 LIKE ? OR col2 LIKE ?))
    $paramTypes = '';       // 存储参数类型字符串 (e.g., 'sss')
    $params = [];           // 存储绑定参数的数组 (e.g., ['%word1%', '%word1%', '%word2%'])

    if (!empty($searchWords)) {
        foreach ($searchWords as $word) {
            $wordConditions = []; // 存储当前搜索词在所有列中的 OR 条件
            foreach ($columnsToSearch as $column) {
                $wordConditions[] = "`" . $column . "` LIKE ?"; // 使用占位符
                $paramTypes .= 's'; // 绑定字符串类型参数
                $params[] = '%' . $word . '%'; // 模糊匹配参数
            }
            // 将当前搜索词的所有列条件用 OR 组合,并用括号括起来
            $globalConditions[] = '(' . implode(' OR ', $wordConditions) . ')';
        }
    }

    // 构建基础查询语句
    $query = "SELECT * FROM `master`";
    if (!empty($globalConditions)) {
        // 如果有搜索词,则将所有搜索词的条件组用 AND 组合起来
        $query .= " WHERE " . implode(' AND ', $globalConditions);
    }

    // 准备预处理语句
    $stmt = mysqli_prepare($connect, $query);
    if (!$stmt) {
        die("预处理语句准备失败: " . mysqli_error($connect));
    }

    // 动态绑定参数
    if (!empty($params)) {
        // mysqli_stmt_bind_param 需要参数以引用方式传递,因此需要特殊处理
        // 创建一个包含参数类型字符串和所有参数的数组
        $bind_names[] = $paramTypes;
        for ($i = 0; $i < count($params); $i++) {
            $bind_names[] = &$params[$i]; // 确保参数是引用
        }
        // 使用 call_user_func_array 来调用 bind_param
        call_user_func_array([$stmt, 'bind_param'], $bind_names);
    }

    // 执行预处理语句
    mysqli_stmt_execute($stmt);

    // 获取结果集
    $result = mysqli_stmt_get_result($stmt);

    // 关闭语句和数据库连接
    mysqli_stmt_close($stmt);
    mysqli_close($connect);

    return $result;
}

// 用于初始加载或不需复杂搜索的简单查询
function filterTable($query) {
    $db_host = "localhost";
    $db_user = "your_db_user";
    $db_pass = "your_db_password";
    $db_name = "your_db_name";

    $connect = mysqli_connect($db_host, $db_user, $db_pass, $db_name);
    if (!$connect) {
        die("数据库连接失败: " . mysqli_connect_error());
    }
    $result = mysqli_query($connect, $query);
    if (!$result) {
        die("查询失败: " . mysqli_error($connect));
    }
    mysqli_close($connect); // 查询完成后关闭连接
    return $result;
}

// 主逻辑部分
$search_result = null; // 初始化结果变量
if(isset($_POST['search'])) {
    $valueToSearch = $_POST['valueToSearch'];
    $search_result = filterTableSecure($valueToSearch); // 调用安全搜索函数
} else {
    // 页面初次加载时显示所有数据
    $query = "SELECT * FROM `master`";
    $search_result = filterTable($query);
}
?>

<!DOCTYPE html>
<html>
    <head>
        <title>PHP HTML TABLE DATA SEARCH</title>
        <style>
            table,tr,th,td
            {
                border: 1px solid black;
                border-collapse: collapse; /* 使边框合并,美观 */
                padding: 8px;
            }
            th {
                background-color: #f2f2f2;
            }
        </style>
    </head>
    <body>

        <form action="" method="post"> <!-- action留空表示提交到当前页面 -->
            <input type="text" name="valueToSearch" placeholder="输入搜索内容"><br><br>
            <input type="submit" name="search" value="过滤"><br><br>

            <table>
                <thead>
                    <tr>
                        <th>ID</th>
                        <th>Office</th>
                        <th>First Name</th>
                        <th>Last Name</th>
                        <th>Type</th>
                        <th>Status</th>
                        <th>Deadline</th>
                        <th>Contact Preference</th>
                        <th>Email</th>
                        <th>Phone Number</th>
                        <th>Tax Pro</th>
                    </tr>
                </thead>
                <tbody>
                <?php 
                if ($search_result && mysqli_num_rows($search_result) > 0):
                    while($row = mysqli_fetch_array($search_result, MYSQLI_
登录后复制

以上就是优化PHP/MySQL模糊搜索:处理多词查询与安全最佳实践的详细内容,更多请关注php中文网其它相关文章!

相关标签:
mysql php word html office ai sql注入 防止sql注入 red php sql mysql mysqli 字符串 数据库

大家都在看:

PHP速学教程(入门到精通)
PHP速学教程(入门到精通)

PHP怎么学习?PHP怎么入门?PHP在哪学?PHP怎么学才快?不用担心,这里为大家提供了PHP速学教程(入门到精通),有需要的小伙伴保存下载就能学习啦!

下载
来源:php中文网
收藏 点赞
上一篇:Laravel MPDF:从多个 Blade 视图生成多页 PDF 文档教程 下一篇:PHP中if条件语句被忽略的常见原因及解决方法
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
作者最新文章
最新问题
PHP字符串转JSON如何转带HTML标签_PHP字符串转JSON中HTML标签的处理 使用json_encode可将含HTML标签的PHP字符串转为JSON,HTML会自动转义为Unicode;若需保留原始HTML格式,应添加JSON_UNESCAPED_UNICODE选项;当HTML位于数组或对象中时,同样适用该方法统一处理;为防止XSS攻击,转换前需用htmlspecialchars或strip_tags对HTML进行安全过滤,确保数据合法安全。
2025-11-17 11:07:25
796
PHP动态表格:根据数据内容隐藏空行技巧 本教程详细介绍了如何在PHP生成HTML表格时,根据数据库查询结果动态判断并隐藏数据为空的行。通过在PHP循环中使用条件语句,可以有效避免显示空白行,提升表格的可读性和用户体验,使数据展示更加专业和整洁。
2025-11-17 11:05:02
122
PHP格式化日期为周几显示的方法是什么_PHP格式化日期为周几显示的详细教程 使用date()函数配合‘l’参数可输出英文星期名,结合setlocale()与strftime()可显示中文星期,或通过自定义数组映射weekday数值到中文星期。示例均输出2025-04-05对应星期六。
2025-11-17 10:51:05
658
vs怎么用php_Visual Studio中PHP开发环境配置与使用 首先安装PHPTools插件并配置PHP解释器路径,接着创建PHP项目并设置启动文件,然后通过IIS或开发服务器配置本地Web环境,最后集成Xdebug实现断点调试,完成VisualStudio中的PHP开发环境搭建。
2025-11-17 10:46:02
456
Node.js与PHP本地通信策略:WebSockets的有效性与考量 本文深入探讨了Node.js服务器与PHP脚本之间进行本地通信的多种策略,重点评估了WebSockets作为一种高效、稳定的解决方案。通过一套全面的运行时和开发时考量清单,我们分析了WebSockets在速度、内存、稳定性、开发时间、难度及可测试性等方面的优势,并指出尽管其常用于浏览器-服务器通信,但在本地进程间通信场景下,WebSockets同样表现卓越,是值得推荐的优选方案,避免了开发自定义协议的复杂性。
2025-11-17 10:43:13
852
PHP中高效解析JSON并访问嵌套子数组数据 本文详细介绍了在PHP中如何高效地解析JSON字符串并从中提取嵌套在子数组中的特定数据。通过演示将JSON解码为关联数组的方法,并结合清晰的代码示例,我们将学习如何准确访问多层级的数据结构,避免常见的解析错误,从而实现数据的精确获取。
2025-11-17 10:40:21
347
PHP格式化布尔值为字符串怎么实现_PHP格式化布尔值为字符串的代码示例 答案:PHP中布尔值转字符串可通过三元运算符、var_export函数、字符串拼接或封装函数实现。使用三元运算符可自定义输出为‘true’或‘false’;var_export能直接返回布尔值的标准字符串形式;字符串拼接会隐式转换,但false变为空字符串需注意;推荐封装为函数以提高复用性与一致性。
2025-11-17 10:39:06
553
解决PHP DocuSign下载已签署文档为空的问题 本文针对PHPDocuSignSDK在下载已签署文档时可能出现空文件的问题,提供了详细的解决方案。主要原因在于SDK特定版本(6.5)的已知缺陷。文章将指导用户更新SDK至修复版本(6.5.1及以上),并提供了一个针对旧版本(6.5)的临时代码修复方案,确保能够成功获取并保存完整的签署文档,包括CoC。
2025-11-17 10:36:43
994
PHP数组重构:使用array_map高效转换数据结构 本教程详细介绍了如何利用PHP的array_map函数,将一个包含嵌套关联数组的复杂数据结构高效地重构为目标格式。文章通过分析原始与目标数组结构,展示了如何使用匿名回调函数和sprintf进行数据提取、组合与格式化,从而实现数组元素的批量转换。内容涵盖了核心代码示例、函数工作原理及使用array_map进行数组重构的最佳实践。
2025-11-17 10:32:08
808
php脚本怎么运行调试_php脚本运行过程中调试与错误排查方法 首先启用错误报告并检查语法错误,再通过var_dump或print_r输出变量,结合日志记录与Xdebug扩展进行深度调试,确保代码逻辑与环境配置正确。
2025-11-17 10:31:37
854
相关专题
更多>
热门推荐
开源免费商场系统广告
热门教程
更多>
相关推荐
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新 English
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部