这段代码很像数据库中的人名搜索引擎。
if (isset($_POST['submit'])){
$keyword = $_POST['stats'];
$orderby = $_POST['orderby'];
if (!empty($_POST['stats'])) {
$getStats = $db->query("SELECT * FROM `stats` WHERE
`lastname` LIKE '%$keyword%' OR `firstname` LIKE '%$keyword%' OR
`nickname` LIKE '%$keyword%' ORDER BY `$orderby`
DESC");
然后将结果打印回表中,我认为表代码没有必要而且太长。
上面的查询工作,如果我只搜索姓氏或名字,或昵称
,但如果数据库中有一个名为John Smith的用户所以
Firstname:约翰。
姓:史密斯
如果只搜索"John",他将被打印到表中,如果只搜索"Smith",这是很好的,也是一样的
但是如果我搜索"John Smith",他不会被打印到表格中。
我怎样才能改变这个查询,使它发生,我已经试过了:
$getStats = $db->query("SELECT * FROM `stats` WHERE
`firstname`, `lastname` = '$keyword' OR `lastname` LIKE '%$keyword%' OR `firstname` LIKE '%$keyword%' OR
`nickname` LIKE '%$keyword%' ORDER BY `$orderby`
DESC");
WHERE CONCAT(firstname, ' ', lastname) LIKE %$keyword%
还应该绑定参数,而不是直接将用户输入插入到查询字符串中,您当前的代码很容易受到SQL注入的攻击。
$keyword = str_replace(" ", "%", $keyword);
您可以尝试REGEXP:
$keyword = $db->real_escape_string($_POST['stats']); // escape data
$orderby = $db->real_escape_string($_POST['orderby']); // escape data
$keyword = implode("|", explode(" ", $keyword));
$getStats = $db->query("SELECT * FROM stats
WHERE firstname REGEXP '$keyword'
OR lastname REGEXP '$keyword'
OR nickname REGEXP '$keyword'
ORDER BY $orderby DESC");
try this
$sql = "SELECT *
FROM stats
WHERE
firstname LIKE '%$keyword%'
OR lastname LIKE '%$keyword%'
OR CONCAT_WS(' ',firstname,lastname,) LIKE '%$keyword%'
OR CONCAT_WS(' ',lastname,firstname) LIKE '%$keyword%'
OR nickname LIKE '%$keyword%'
ORDER BY $orderby DESC";