我不知道这样问是否愚蠢。但是我想不通。我有以下查询:
include 'db.php';
if(isset($_POST['search']) && !empty($_POST['searchQuery'])){
$name = $_POST['searchQuery'];
//-query the database table
$sql="SELECT * FROM users WHERE name LIKE '%" . $name . "%'";
$result=mysqli_query($db, $sql);
}
这会从表单输入中找到匹配项,所以稍后我会使用mysqli_fetch_array()并在循环后显示结果。但我不知道用户输入的字符串是否在表中不匹配,我如何向他们显示他正在搜索的内容找不到?
确保使用mysqli_real_escape_string清除变量$name。
要检查是否未找到结果,您需要使用mysqli_num_rows并检查它是否为零。
示例
include 'db.php';
if(isset($_POST['search']) && !empty($_POST['searchQuery'])){
$name = mysqli_real_escape_string($db,$_POST['searchQuery']);
$sql="SELECT * FROM users WHERE name LIKE '%{$name}%'";
$result=mysqli_query($db, $sql);
if($result && mysqli_num_rows($result)) {
// Success and Results
}else{
// Failed OR No Results
}
}
为什么使用mysqli_real_escape_string
使用mysql_real_escape_string非常重要,否则任何用户都可以执行SQL注入。SQL注入是指用户可以修改SQL查询以泄漏或删除信息。