複数の項目を複数の列で検索

Question

フォームに6つの選択項目があります。私はMYSQL DBの6つを検索したい。

$result = mysql_query("SELECT * FROM wsinmuebles WHERE Property_Type LIKE '%{$_POST['Property_Type']}%'"); 

しかし、もっと試してみると結果はありません。

$result = mysql_query("SELECT * FROM wsinmuebles WHERE 
Property_Type LIKE '%{$_POST['Property_Type']}%' AND 
Estado LIKE '%{$_POST['Estado']}%' AND 
Ciudad LIKE '%{$_POST['Ciudad']}%' AND 
Urbanizacion LIKE '%{$_POST['Urbanizacion']}%' AND 
Operacion LIKE '%{$_POST['Operacion']}%' AND 
Precio_bsf LIKE '%{$_POST['Precio_bsf']}%'"); 

これはPOSTメソッドによるフォームに由来します。

私が必要とするのは、MYSQL DBのProperty_Type、Estado、Ciudad、Urbanizacion、Operacion、およびPrecio_bsf変数を検索し、それらの値すべてに一致する結果のみを受け取ることです。

Answer 1

私はあなたの検索文字列の代わりに与えられたアクションを実行すると、 'と1 = 1; delete wsinmuebles "これが私のserachクエリであれば、すべてのデータを失うでしょう。

$result = mysql_query("select * from tbl1 where Name='".mysql_escape_string ($_POST["value"]."'"); 

Answer 2

まず、データが"文字を持つ任意のSQLインジェクション攻撃とも問題を回避するためにmysql_real_escape_stringの（Link）を使用して、ポストの値をエスケープします。

第二には、クエリをエコーと
クエリが実際にいくつかの値を返すべきか、あなたがいることを言及したので、基準の残りの部分を含んで一致がないかもしれかどうかを確認するために、データベースに対してそれを実行すると、テーブルのデータをチェックそれらのすべての値に一致する結果が必要です。

Answer 3

フィールドUrbanizacionがnullの場合、クエリは返されません。

Urbanizacion LIKE '%%' => FALSE when Urbanizacion is Null 

Nullは処理する必要があります。また、私は強くあなたがどんな結果を得るか、あなたはmysqlのコマンドラインクライアントから同じクエリを実行する場合は、代わりに、変数の明示的な値で、mysql_real_escape_string

$result = mysql_query(" 
    SELECT * FROM wsinmuebles WHERE 
    IFNULL(Property_Type,'') LIKE '" . mysql_real_escape_string($_POST['Property_Type']) ."' AND 
    IFNULL(Estado,'') LIKE '" . mysql_real_escape_string($_POST['Estado']). "' AND 
    IFNULL(Ciudad,'') LIKE '" . mysql_real_escape_string($_POST['Ciudad']) ."' AND 
    IFNULL(Urbanizacion,'') LIKE '" . mysql_real_escape_string($_POST['Urbanizacion']) ."' AND 
    IFNULL(Operacion,'') LIKE '" . mysql_real_escape_string($_POST['Operacion']) ."' AND 
    IFNULL(Precio_bsf,'') LIKE '" . mysql_real_escape_string($_POST['Precio_bsf']) ."'");