MySQL LIKE 返回所有结果

Question

我正在尝试根据来自表单的字符串过滤结果。这是我的代码。

<?php
    $query = $_GET['query']; // gets the string entered from the form.

    $userSearch = $db->prepare("SELECT id, user_id, feedback FROM `QComments` 
                                WHERE `feedback` 
                                LIKE '%$query%' 
                                ORDER BY user_id");

    $userSearch->execute();
    $userSearchResult = $userSearch->fetchAll(PDO::FETCH_ASSOC);  
?>

<?php // Display search result

    foreach ($userSearchResult as $result1){
        echo $result1['feedback']; 
    }

?>

无论我输入什么字符串，这基本上都会显示数据库中的所有记录。

但是当我在 PHPMYAdmin SQL 框中输入这个 MySQL 语句时

SELECT id, user_id, feedback FROM `QComments` 
WHERE `feedback` 
LIKE '%suggestion%' 
ORDER BY user_id

我只得到具有建议关键字的结果。但是 PHP 显示了一切。我的代码有什么问题？请给我建议。

Answer 1

使用这样的准备好的语句一直对我有用。

准备好的语句不只是简单地进行字符串替换。它们传输数据与查询完全分开。只有在将值嵌入查询时才需要引号

<?php
    $query = '%'.$_GET['query'].'%'; // gets the string entered from the form.

    $userSearch = $db->prepare("SELECT id, user_id, feedback FROM `QComments` 
                                WHERE `feedback` 
                                LIKE :query
                                ORDER BY user_id");
    $userSearch->BindParam(':query', $query);
    $userSearch->execute();
    $userSearchResult = $userSearch->fetchAll(PDO::FETCH_ASSOC);  
?>