PHP Colocar variavel em SELECT LIKE mysql

[Gustavo L1m4]

Boa tarde pessoal do fórum, o meu problema é o seguinte estou tentando utilizar   

"SELECT * FROM sgl where nome like '%$livro%'"

para selecionar um campo do meu banco mas   esta sintaxe esta errada, como eu poderia fazer para este comando funcionar ?

OBS :$livro é uma variável

Fico grato qualquer ajuda..

[ArThDsL]

Boa noite amigo,

 

O mais correto para isso seria utilizar somente o % no final, para começar a buscar a partir do inicio, e não as silabas, utilize também ".." (aspas duplas) e pontos no inicio e no fim para separar a string, lembre-se de filtrar a mesma e usar addslashes para escapar os dados e proteger contra SQL Injection.

 

Segue um exemplo:

"SELECT * FROM sgl WHERE nome LIKE '".addslashes($livro)."%'"

Grande abraço.

[Leonardo0308]

Bom dia @Gustavo L1m4

 

O que o colega @ArThDsL falou irá funcionar para rodar o código, porém não irá protege-lo de SQL Injection e seu código será vulnerável.

 

Para tornar as suas consultas mais seguras, recomendo fortemente que pesquise um pouco sobre PDO (PHP Data Objects).

[ArThDsL]

5 horas atrás, Leonardo0308 disse:

Bom dia @Gustavo L1m4

 

O que o colega @ArThDsL falou irá funcionar para rodar o código, porém não irá protege-lo de SQL Injection e seu código será vulnerável.

 

Para tornar as suas consultas mais seguras, recomendo fortemente que pesquise um pouco sobre PDO (PHP Data Objects).

Boa tarde @Leonardo0308,

 

Caso siga algumas normas de segurança, tal como: Filtragem, validação e escape não vejo problema em referenciar a string diretamente no SELECT.

 

Provavelmente ele está utilizando a função mysqli para realizar tal consulta, apesar de muitos (inclusive eu) acharem que a função se encontra depreciada (o que não é verdade, pois o mysqli veio pra substituir o mysql (essa sim está depreciada)), ainda é muito usada pelos programadores nos dias de hoje, o problema é que, não pode haver erros durante a consulta/inserção/update ou afins, a string sempre deve ser filtrada, validada e escapada antes de ser executada, o addslashes é sómente o escape, mas no meu post acima citei que deve ser filtrada antes de passar pelo procedimento de escape.

 

Dentre isso reforço o comentário do companheiro de que o PDO é realmente mais seguro, pois ele automaticamente corrige alguns erros, tem suas desvantagens, mas, vale muito mais a pena que o mysqli. Reforço também o lembrete de sempre de filtrar e validar antes de passar a variável, até mesmo no PDO!

 

Grande abraço!

[Gustavo L1m4]

@ArThDsL @Leonardo0308  muito obrigado pela ajuda, ajudou muito,vou dar uma pesquisada por PDO, mas o que o ArThDsL falou funcionou também, obrigado pela ajuda.