pdo执行like模糊查询必须用参数绑定,通配符%或_须作为参数值一部分传入;mysql中%匹配任意长度字符、_匹配单个字符,转义需用escape指定;前导%会导致索引失效。
PHP 中用 PDO 执行 LIKE 模糊查询的正确写法
直接拼接字符串加 % 是最常见也最容易出安全问题的做法。必须用参数绑定,否则 SQL 注入风险极高。
核心就一条:通配符 % 或 _ 必须作为参数值的一部分传入,不能拼在 SQL 字符串里。
$stmt = $pdo->prepare("SELECT * FROM users WHERE name LIKE ?");$stmt->execute(['%张%']); // ✅ 正确:通配符在值里$stmt->execute(['张']); // ❌ 错误:没加通配符,查不到含“张”的记录- 如果想前端传入关键词再补通配符,用
sprintf('%s', $_GET['q'])包一层再拼进参数值,别用字符串拼 SQL
MySQL 里 _ 和 % 的区别与转义陷阱
% 匹配任意长度(含零)字符,_ 只匹配单个字符。但如果你真要查下划线本身,比如用户名是 user_name,不转义就会被当成“任意字符”处理。
MySQL 用 当转义符,但 PHP 字符串里反斜杠本身要双写,所以实际得传 _,再配合 ESCAPE '' 告诉 MySQL。
立即学习“PHP免费学习笔记(深入)”;
-
WHERE username LIKE 'user\_%' ESCAPE '\'→ 查以user_开头的用户名 - 用 PDO 时,转义符也要进参数:
$stmt->execute(['user\_%', '\']); - 更稳妥的做法是换一个不太可能出现在业务数据里的字符当转义符,比如
!:LIKE 'user!_%' ESCAPE '!' - 注意:PDO 默认不处理转义,全靠你写进 SQL 和参数里
LIKE 查询性能差?这些条件会让索引失效
哪怕字段有索引,LIKE '%关键词'(前导通配符)也会导致全表扫描。MySQL 只能利用索引加速 '关键词%' 这种左匹配。
-
WHERE name LIKE '张%'→ 可走索引 -
WHERE name LIKE '%张'→ 索引失效 -
WHERE name LIKE '%张%'→ 索引失效 - 如果必须做前后模糊查,考虑用全文索引(
FULLTEXT)或引入 Elasticsearch - 小表、低频查询可以忍;大表、高频模糊查,别硬扛 LIKE
用 mysqli 时容易漏掉的细节:预处理 + 绑定类型
mysqli 预处理比 PDO 更啰嗦,bind_param 类型声明错一个,结果就空或者报错,但错误信息还不明显。
- 字符串必须用
s,数字用i,不能混用:$stmt->bind_param('s', $keyword); - 通配符必须提前加好:
$keyword = '%' . $_GET['q'] . '%'; - 别忘了调用
$stmt->execute(),否则没查询发生 - 执行后要用
$stmt->get_result()拿结果集,不是直接 fetch - 错误提示常是
Call to a member function fetch_all() on bool,其实是 execute 失败返回 false
事情说清了就结束。真正难的不是写对那几行代码,而是记住:通配符属于数据,不是 SQL 结构;转义是 MySQL 的事,但怎么传进去是 PHP 的事;索引能不能用,不看有没有 LIKE,而看通配符在哪。
