我正在处理一个查询,该查询在全文索引上使用 MATCH () AGAINST ()。
奇怪的是,该查询在PHP的PDO中不起作用,但可以与HeidiSQL甚至MySQL控制台(mysql -u [...])一起使用。
这是我正在处理的查询:
SELECT *
FROM `announcements`
WHERE MATCH (`name`, `email`, `trademark`, `model`, `phone`, `city`) AGAINST ('+Ravenna*' IN BOOLEAN MODE)
这是PDO的错误:
SQLSTATE[42000]:语法错误或访问冲突:1064 您的 SQL 语法有错误;请查看与您的 MySQL 服务器版本对应的手册,了解在附近使用的正确语法
1号线'?) against ('?' in boolean mode))'
SELECT count(*) AS AGGREGATE
FROM `announcements`
WHERE `archived_at` IS NULL
AND (MATCH (`name`, `email`, `trademark`, `model`, `phone`, `city`) against ('+Ravenna*' IN boolean MODE))
编辑:
这是导致错误的函数:
[...]
$this->customQueries[] = function ($query) use ($words) {
$columnsToSearch = array_map(function ($key) {
return "`{$key}`";
}, [
'name', 'email', 'trademark', 'model', 'phone', 'city'
]);
$matchColumns = implode(', ', $columnsToSearch);
$againstWords = value(function () use ($words) {
$string = "";
foreach ($words as $word) {
$string .= "+{$word}* ";
}
$string = trim($string);
return $string;
});
// This is specifically the function that causes the error.
$query->whereNested(function ($q) use ($matchColumns, $againstWords) {
$q->whereRaw("match (?) against ('?' in boolean mode)", [$matchColumns, $againstWords]);
});
};
我不明白为什么它不仅适用于 PDO。
我已经在StackOverflow上搜索过,所有单引号都已经检查过了。
不能插入逗号分隔的列名字符串作为预准备语句的参数。相反,您应该只在 SQL 语句中注入它们,而不是将它们作为参数传递。
其次,您永远不应该用引号将占位符(?
)括起来。
因此,请尝试对代码进行此修改:
$query->whereNested(function ($q) use ($matchColumns, $againstWords) {
$q->whereRaw("match ($matchColumns) against (? in boolean mode)", [$againstWords]);
});
您可能认为像这样在 SQL 字符串中注入$matchColumns
是不好的,但由于您可以完全控制该值,因此没有风险(SQL 注入)。