我想做的是在 php 中構(gòu)建一個(gè)搜索功能，以從 mysql 數(shù)據(jù)庫(kù)中獲取數(shù)據(jù)。問(wèn)題是查詢是根據(jù)用戶輸入動(dòng)態(tài)生成的。我在與搜索參數(shù)匹配的表單中有幾個(gè)輸入字段，例如，我可以搜索產(chǎn)品的名稱或年份（分隔的輸入表單），或者我可以只搜索名稱或只搜索年份。我成功構(gòu)建了 SQL 查詢，并且可以成功地為有效的 select 語(yǔ)句傳遞值。但是我想用參數(shù)化查詢來(lái)防止 SQL 注入。這是我用來(lái)生成查詢的代碼片段：$searchKeyword = $_POST['searchKeyWord'];$year = $_POST['searchYear'];$location = $_POST['searchLocation'];$alcool = $_POST['alcol'];$query = "SELECT * FROM CAPS WHERE 1";if($searchKeyword != null) {    $query.=" and name like '%$searchKeyword%' ";}if($year != null) {    $query.="and year='$year' ";}if($location != null) {    $query.="and location like '%$location%' ";}if($alcool != "none") {    $query.=" and alcool='$alcool'";}它按原樣構(gòu)建查詢，我只能有一個(gè)帶輸入的字段，它類似于SELECT * FROM CAPS WHERE 1    AND name LIKE '%Cola%'` 或者也可以SELECT * FROM CAPS WHERE 1   AND name LIKE '%Cola%'   AND year = '1999'   AND location LIKE '%London%'我的問(wèn)題是：如果我將查詢中的“$variable”替換為“?”，如何根據(jù)生成的查詢插入輸入？