php - 带冒号的查询 ( :) in the search variable using pdo

Question

我有一个恼人的问题。我正在尝试做一些简单的事情，比如从数据库中获取单元格值。这是你可以用数据库做的最基本的事情……给我一个值，如果有一个单元格有这个值……

问题在于搜索查询包含冒号 (:)。我在带有准备好的语句的类中使用 pdo 函数但没有运气。我已经尝试了一切，甚至将查询分开，因此它不会包含冒号，但仍然没有运气。我试图恢复到 mysqli 但结果仍然相同......

数据表包含诸如 title -> Morlanda C:2 和 sourceID -> S11 之类的值。顺便说一句，如果我尝试在 phpmyadmin 中搜索标题，当我寻找 Morlanda C:2 时，我会得到我想要的。

但是当我调用我的函数时，会这样:

$sourceID = $sources->sourceAvalibe('Morlanda C:2');

我正在访问我的函数:

public function sourceAvalibe($sourceTitle){
    try {
        $sql = "SELECT sourceID FROM sources WHERE title=:sourceTitle";
        $core = Core::getInstance();
        $stmt = $core->dbh->prepare($sql);
        $stmt->bindParam(':sourceTitle', $sourceTitle, PDO::PARAM_STR, 32);
        $stmt->execute();
        $row = $stmt->fetch(PDO::FETCH_ASSOC);
        return $row;    
}

那么结果将是空的..

但是如果我这样调用函数:

 $sourceID = $sources->sourceAvalibe('1910 Massachusetts Census');

结果将返回我正在寻找的内容。

如果查询包含冒号 (:)，结果将为空，但如果查询包含不带冒号 (:) 的内容，则返回正确的 sourceID。

我曾尝试以不同的方式转义冒号，但它也找不到结果。

在我发疯之前你能帮帮我吗？？？

更新 1

你好

感谢您的回答。我正在搜索的数据与数据库中的数据完全相同，使用复制/粘贴。我一直在寻找邪恶的空白，但没有发现任何额外的东西。我现在改用 bindValue。

关于禁用模拟准备好的语句的评论，我的回答是……怎么回事？ :)我现在在这篇文章中找到了你所说的关于模拟的内容:Best way to prevent SQL injection? ，并更新了我的构造函数类。我仍然得到相同的结果......没有......

我正在为我的数据库连接使用这个构造函数类:

class Core {

    public $dbh;
    private static $instance;

   function __construct(){
        $this->dbh = new PDO("mysql:host=$db_host;dbname=$db_name", $db_user, $db_pass, 
        array(PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES utf8", 
              PDO::ATTR_EMULATE_PREPARES => false));
    }

    public static function getInstance(){
        if (!isset(self::$instance)){
            $object = __CLASS__;
            self::$instance = new $object;
        }
        return self::$instance;
    }

}

更新2

你好

当我将搜索值 Morlanda C:2 硬编码到我的 sql 行时，一切都按预期工作。所以我比较了我的 php 生成的标题:

  $sourceTitle = $sourcePreTitle." ".$preTitleNumber[0].":". $preTitleNumber[1];

与:

   $orginalString = "Morlanda C:2";

而且他们不匹配。进行了类型检查，但都以 stings 的形式出现。我开始认为是旧的 UTF8 编码问题困扰着我。我的数据库、表和单元格设置为 utf8_unicode_ci。pdo 连接是 UTF8，并使用 Notepad++ 使用“ANSI with UTF-8”(无 BOM)对 php 文件进行了编码。

这里的整个项目是将家谱笔记转化为来源，因此我从同一个数据库中的表中收集了一个长字符串，并将其分解，然后将一些片段组装成一个 sourceTitle，如上所示。然后我搜索数据库以查看源是否已经存在，如果不存在，那么我就创建一个新的。数据的收集和 sourceTilte 的搜索是由同一个 pdo 类完成的。

更新3

你好

这是一个愚蠢的空白或类似的东西......我确实在 $sourceTitle 变量上使用了 trim，但没有在 explode 函数的数组中的每个部分上使用。当我这样做时，它起作用了。我猜是最后一个数字之后的尾线或其他东西让我感到困惑。

感谢您的帮助，我现在终于可以将我的 3000 条笔记转换为来源 :)下一个项目是如何防止我的脚本自定义阻塞我的 VPS...

Answer 1

您绑定(bind)的数据不需要以任何方式转义。这几乎就是绑定(bind)参数的全部要点。您的问题不在于数据中有冒号。很可能是您在代码或实际数据库记录中输入了标题。

在不相关的说明中，最好使用 bindValue() 而不是 bindParam() 用于您的用例:

$stmt->bindValue(':sourceTitle', $sourceTitle);

养成使用 bindValue() 的习惯，除非你知道你需要通过引用绑定(bind)(在这种情况和类似情况下，你只使用一次值，所以你不需要通过引用绑定(bind))。