Forgot Password ??

PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone

	Registered : 109,038

HOME > PHP > PHP Forum > คำสั่ง sql ผมยาวมากอ่ะ ผมจะตัดให้มันสั้น ผมใช้ $select_stmt = $conn->prepare("

[PHP] คำสั่ง sql ผมยาวมากอ่ะ ผมจะตัดให้มันสั้น ผมใช้ $select_stmt = $conn->prepare("

เริ่มหัวข้อใหม่

JAME

โพสกระทู้ ( 3 )
บทความ ( 0 )

Code (PHP)

1.$select_stmt = $conn->prepare("SELECT * FROM book B INNER JOIN categories C on B.cat_id = C.cat_id WHERE B.book_nameTH Like '%".$bookKey."%' or B.book_nameEN Like '%".$bookKey."%' B.book_aut1 Like '%".$bookKey."%' or B.book_aut2 Like '%".$bookKey."%' or B.book_aut3 Like '%".$bookKey."%' or B.book_ISBN Like '%".$bookKey."%' or B.book_id Like '%".$bookKey."%' or B.book_ta Like '%".$bookKey."%'");

2.$select_stmt->execute();

คำสั่ง sql ผมยาวมากอ่ะ ผมจะตัดให้มันสั้น อะครับผมควรทำอย่างไรครับ

Tag : PHP

Date : 2019-02-18 22:02:27

By : jimmyFG

View : 894

Reply : 2

No. 1

Chaidhanan

โพสกระทู้ ( 9,590 )
บทความ ( 2 )

การใช้ prepare แบบที่เขียน ไม่ได้ประโยชน์ ในเรื่อง sql injection เพราะ data request ไม่ได้ถูกแปลงค่า
ต้อง bind parameter เพื่อจะได้ทำการตรวจสอบ และ แปลงค่า ก่อน
ส่วนคำสั่ง where like ให้รวม field ที่ใช้ตรวจสอบ เหมือนกันก่อนตรวจสอบ จะได้สั้นลง
เปลี่ยนเป็น
Code (PHP)

$param = "%{$bookKey}%";
$sql="SELECT * FROM book B INNER JOIN categories C on B.cat_id = C.cat_id 
WHERE concat(B.book_nameTH,'|', B.book_nameEN,'|', B.book_aut1,'|', B.book_aut2,'|', B.book_aut3,'|', B.book_ISBN,'|', B.book_id,'|', B.book_ta) Like ? ";
 
$select_stmt = $conn->prepare( $sql); 
$select_stmt->bind_param('s', $param); 
$select_stmt->execute();

แต่จะว่าไป แค่นี้ยังถือว่าสั้นนะครับ 55555
ถ้าไปเจอ join กัน 10 ตาราง ยาวกว่า 1 หน้ากระดาษ a4 ไม่ตายเหรอ

Date : 2019-02-19 07:01:54

By : Chaidhanan

No. 2

mr.v

โพสกระทู้ ( 4,765 )
บทความ ( 8 )

http://php.net/manual/en/pdo.prepare.php

Code (PHP)

$sql = 'SELECT * FROM `table` WHERE `id` = :id AND (`date` = :date OR `lastdate` = :date)';
$sth = $dbh->prepare($sql, [\PDO::ATTR_CURSOR => \PDO::CURSOR_FWDONLY]);
$sth->execute([':id' => $myId, ':date' => $date]);

Date : 2019-02-19 11:29:02

By : mr.v

ค้นหาข้อมูล

แสดงความคิดเห็น

Re : คำสั่ง sql ผมยาวมากอ่ะ ผมจะตัดให้มันสั้น ผมใช้ $select_stmt = $conn->prepare("

รายละเอียด

เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง

โดย

อีเมล์

บวกค่าให้ถูก

<= ตัวเลขฮินดูอารบิก เช่น 123 (หรือล็อกอินเข้าระบบสมาชิกเพื่อไม่ต้องกรอก)