我试着写功率在我的节目搜索功能:PDO/MYSQL准备的语句不能转义字符?
$search = "%".$_POST['search']."%";
$query=$connection->prepare("SELECT * FROM TABLE WHERE COLUMN LIKE ?");
$query->execute(array($search));
然而,似乎用户只需输入%,它返回所有结果。我如何防止这种情况发生?我的印象是,使用预先准备好的陈述将会逃脱这些角色。这是否也适用于其他字符(\,'等)?我该如何解决?