我有这个代码用于查询:
$repository = $em->getRepository('AcmeCrawlerBundle:Trainings');
$query = $repository->createQueryBuilder('p')
->where('p.title LIKE :word')
->orWhere('p.discription LIKE :word')
->setParameter('word', $word)
->getQuery();
$trainings = $query->getResult();
问题是:即使存在匹配,此查询也找不到它们。我用这段代码来查看完整的sql:
print_r(array(
'sql' => $query->getSQL(),
'parameters' => $query->getParameters(),
));
我得到了什么:
FROM Trainings t0_ WHERE t0_.title LIKE ? OR t0_.discription LIKE ? [parameters] => Array ( [word] => Spoken )
(查询的最后一部分)请告诉我要改变什么?
你忘记了世界各地的qazxsw poi标志:
%
选择的答案是错误的。它有效,但不安全。
你应该逃避在百分号之间插入的术语:
->setParameter('word', '%'.$word.'%')
->setParameter('word', '%'.addcslashes($word, '%_').'%')
将百分号“%”和符号下划线“_”解释为通配符。如果它们没有正确转义,攻击者可能会构建可能导致拒绝服务攻击的异常复杂的查询。此外,攻击者可能会获得他不应该获得的搜索结果。有关攻击情形的更详细说明,请访问:LIKE