PHPLIKE模糊查询与下划线使用技巧

本文深入剖析了PHP中使用PDO或mysqli执行MySQL LIKE模糊查询的关键要点与常见陷阱，强调必须通过参数绑定传递含通配符（%和_）的完整搜索值，严禁字符串拼接SQL以防SQL注入；详解了%（匹配任意长度字符）与_（仅匹配单个字符）的区别、转义机制（如ESCAPE配合双反斜杠或自定义转义符），并直击性能痛点——前导通配符（如'%关键词'）将导致索引失效，建议左匹配优先、全文索引或Elasticsearch替代方案；同时提醒开发者注意预处理中类型绑定、执行调用及结果获取等易错细节，核心思想是：通配符属于数据而非SQL语法，转义由MySQL解析但需PHP精准传递，而查询效率取决于通配符位置而非LIKE本身。

PHP 中用 PDO 执行 LIKE 模糊查询的正确写法

直接拼接字符串加 % 是最常见也最容易出安全问题的做法。必须用参数绑定，否则 SQL 注入风险极高。

核心就一条：通配符 % 或 _ 必须作为参数值的一部分传入，不能拼在 SQL 字符串里。

• $stmt = $pdo->prepare("SELECT * FROM users WHERE name LIKE ?");
• $stmt->execute(['%张%']); // ✅ 正确：通配符在值里
• $stmt->execute(['张']); // ❌ 错误：没加通配符，查不到含“张”的记录
• 如果想前端传入关键词再补通配符，用 sprintf('%s', $_GET['q']) 包一层再拼进参数值，别用字符串拼 SQL

MySQL 里 _ 和 % 的区别与转义陷阱

% 匹配任意长度（含零）字符，_ 只匹配单个字符。但如果你真要查下划线本身，比如用户名是 user_name，不转义就会被当成“任意字符”处理。

MySQL 用 \ 当转义符，但 PHP 字符串里反斜杠本身要双写，所以实际得传 \\_，再配合 ESCAPE '\\' 告诉 MySQL。

• WHERE username LIKE 'user\\_%' ESCAPE '\\' → 查以 user_ 开头的用户名
• 用 PDO 时，转义符也要进参数：$stmt->execute(['user\\_%', '\\']);
• 更稳妥的做法是换一个不太可能出现在业务数据里的字符当转义符，比如 !：LIKE 'user!_%' ESCAPE '!'
• 注意：PDO 默认不处理转义，全靠你写进 SQL 和参数里

LIKE 查询性能差？这些条件会让索引失效

哪怕字段有索引，LIKE '%关键词'（前导通配符）也会导致全表扫描。MySQL 只能利用索引加速 '关键词%' 这种左匹配。

• WHERE name LIKE '张%' → 可走索引
• WHERE name LIKE '%张' → 索引失效
• WHERE name LIKE '%张%' → 索引失效
• 如果必须做前后模糊查，考虑用全文索引（FULLTEXT）或引入 Elasticsearch
• 小表、低频查询可以忍；大表、高频模糊查，别硬扛 LIKE

用 mysqli 时容易漏掉的细节：预处理 + 绑定类型

mysqli 预处理比 PDO 更啰嗦，bind_param 类型声明错一个，结果就空或者报错，但错误信息还不明显。

• 字符串必须用 s，数字用 i，不能混用：$stmt->bind_param('s', $keyword);
• 通配符必须提前加好：$keyword = '%' . $_GET['q'] . '%';
• 别忘了调用 $stmt->execute()，否则没查询发生
• 执行后要用 $stmt->get_result() 拿结果集，不是直接 fetch
• 错误提示常是 Call to a member function fetch_all() on bool，其实是 execute 失败返回 false

事情说清了就结束。真正难的不是写对那几行代码，而是记住：通配符属于数据，不是 SQL 结构；转义是 MySQL 的事，但怎么传进去是 PHP 的事；索引能不能用，不看有没有 LIKE，而看通配符在哪。

到这里，我们也就讲完了《PHPLIKE模糊查询与下划线使用技巧》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！