[MySQL][PHP]Prepared Statements + operator LIKE Opcje

[offensive__tomat...]

Witam.
Mam następujący problem. Mam bazę danych w której jest tabela KSIAZKI. Chcę napisać skrypt wykorzystujący instrukcje przygotowawcze do odczytu zawartości tabeli. Skrypt ma znaleźć odpowiednie wyrażenie ($wyrażenie) w polu wskazanym przez użytkownika ($metoda_szukania). W całej imprezie chciałbym wykorzystać operator LIKE zamiast operatora równości. I tu właśnie pojawia się problem. Skrypt w zaprezentowanej poniżej postawi wykonuje się bez żadnego błędu jednak nie zwraca żadnych wyników. Jedyną informację jaką otrzymuje to: „Znaleziono: 0”. Oczywiście dane wpisuje poprawne.

Nie mam pojęcia gdzie jest błąd. Wczoraj siedziałem nad tym cały dzień i nic. Być może to jakaś pierdoła której po prostu nie widzę. Szukałem rozwiązania w sieci jednak nic nie znalazłem. Będą wdzięczny za pomoc. Dopiero uczę się tego wszystkiego więc proszę o wyrozumiałość .

Raczej to niepotrzebne ale zamieszczam też kod formularza.

--==FORMULARZ==--

[HTML] pobierz, plaintext 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl" lang="pl">
    <head>
        <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"/>
        <link href="style.css" rel="stylesheet" type="text/css" />
        <title>Wyszukiwanie książek (instrukcje przygotowawcze)</title>
    </head>
    <body>
        <h1>Wyszukiwanie książek (instrukcje przygotowawcze)</h1>
        <form action="rezultat_instr_przyg.php" method="post">
            <p>
                Wybierz metodę wyszukiwania:<br />
                <select name="metoda_szukania">
                    <option value="autor">Autor</option>
                    <option value="tytul">Tytuł</option>
                    <option value="isbn">ISBN</option>
                </select>
            </p>
            <p>
                Wprowadź poszukiwane wyrażenie<br />
                <input name="wyrazenie" type="text"></input><br />
                <input type="submit" name="submit" value="Szukaj"></input>
            </p>
        </form>
    </body>
</html>
[HTML] pobierz, plaintext 

--==SKRYPT PHP==--

[PHP] pobierz, plaintext 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="pl" lang="pl">
    <head>
        <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"/>
        <link href="style.css" rel="stylesheet" type="text/css" />
        <title>Wyszukiwanie książek (instrukcje przygotowawcze)</title>
    </head>
    <body>
        <h1>Wyszukiwanie książek (instrukcje przygotowawcze)</h1>
 
        <?php
            $metoda_szukania = trim($_POST['metoda_szukania']);
            $wyrazenie = trim($_POST['wyrazenie']);
 
 
            if (!$metoda_szukania || !$wyrazenie) {
                echo '<p>Brak parametrów wyszukania. Wróć do poprzedniej strony i spróbuj ponownie.</p>';
                exit;
            }
 
            if (!get_magic_quotes_gpc()) {
                $metoda_szukania = addslashes($metoda_szukania);
                $wyrazenie = addslashes($wyrazenie);
            }
 
            @ $db = new mysqli('localhost', 'offensivetomato', 'ksiazki', 'asd123');
 
            if (mysqli_connect_errno ()) {
                echo '<p>Błąd: Połączenie z bazą danych nie powiodło się.
                         Spróbuj jeszcze raz później</p>';
                exit;
            }
 
            $wyrazenie = "'%".$wyrazenie."%'";
 
            $zapytanie = $db->prepare("select isbn, autor, tytul, cena from ksiazki where ? like ?");
            $zapytanie->bind_param("ss", $metoda_szukania, $wyrazenie);
            $zapytanie->execute();
            $zapytanie->bind_result($isbn, $autor, $tytul, $cena);
            $zapytanie->store_result();
            $ile_znalezionych = $zapytanie->num_rows;
            echo 'Znaleziono: ' .$ile_znalezionych;
 
            for ($i=0; $i<$ile_znalezionych; $i++){
                $zapytanie->fetch();
                echo '<p><strong>' .($i+1). ' Tytuł: </strong>' .stripslashes($tytul). '<br />';
                echo 'Autor: ' . stripslashes($autor). '<br />';
                echo 'ISBN: ' .  stripslashes($isbn). '<br />';
                echo 'Cena: ' . number_format($cena, 2). '</p>';
            }
 
            $db->close();
        ?>
        <p>
            <a href="szukaj_instr_przyg.php">Powrót</a>
        </p>
    </body>
</html>
[PHP] pobierz, plaintext 

[everth]

[PHP] pobierz, plaintext 
$zapytanie = $db->prepare("select isbn, autor, tytul, cena from ksiazki where ? like ?");
            $zapytanie->bind_param("ss", $metoda_szukania, $wyrazenie);
[PHP] pobierz, plaintext 

Bindujesz parametr po nazwie, a w zapytaniu nie masz jej określonej - w przypadku ? bindujemy po numerze wystąpienia. Jakbyś chciał zbindować po nazwie to musiałbyś umieścić ją w zapytaniu np.

[PHP] pobierz, plaintext 
$zapytanie = $db->prepare("select isbn, autor, tytul, cena from ksiazki where isbn like :ss");
  $zapytanie->bind_param("ss", $metoda_szukania, '%'.$wyrazenie);
[PHP] pobierz, plaintext 

Przy tym wydaje mi się że nie możesz bindować kolumn - tylko wartości. Więc where ? liki ? chyba nie zadziała (wiem że ograniczenie odnosi się do kolumn, więc może się okazać że jednak można bindować kolumny po WHERE, nie chce mi się tego sprawdzać teraz).

Ten post edytował everth 21.09.2010, 09:17:04

[athei]

Tak jak kolega wyżej napisał nie możesz bindować kolumny (where, order by itd).
Po co ci trim i addslashes na metodzie_szukania. To ty określasz jakie są metody szukania, a nie user, więc sprawdzaj czy user nie zmienił czegoś w kodzie:

Kod

$metody = array('autor','tytul','isbn');
if (in_array( $_POST['metoda_szukania'], $metody)) {
    $metoda_szukania = $_POST['metoda_szukania'];
} else {  
    $metoda_szukania = 'autor'; //lub inna ktora ma byc domyslna
}