Prepared 문을 선택할 수 없는 환경에서는 SQL 주입을 방지하기 위해 MySQL에 제출하기 전에 사용자 입력을 철저하게 이스케이프하는 것이 중요합니다. 이 목적으로 일반적으로 PHP의 mysql_real_escape_string 함수가 사용되지만 MySQL 와일드카드 문자 '%' 및 '_'를 이스케이프하는 기능이 부족합니다.
이를 설명하기 위해 addcslashes를 추가로 사용할 수 있습니다. 그러나 사용자가 관찰한 바에 따르면 와일드카드가 포함된 입력이 데이터베이스로 전송되어 검색되면 표시된 결과에 불일치가 있습니다.
The Escaping Enigma
사용자는 '_' 문자 앞에 백슬래시('_')가 붙는 반면 '"' 및 "'" 문자는 그렇지 않은 특이한 동작을 경험했습니다. 세 가지 모두 ''로 이스케이프 처리되었지만 이 문자는 왜 다르게 처리됩니까?
MySQL 컨텍스트 이해
이 수수께끼를 해결하는 열쇠는 다음과 같습니다. MySQL에서 LIKE 일치의 컨텍스트를 이해하는 방법 '_' 및 '%'는 일반적인 MySQL 사용에서 와일드카드로 간주되지 않으며 문자열을 구성할 때 이스케이프해서는 안 됩니다. literal.mysql_real_escape_string은 이 목적에 대한 이스케이프 요구 사항을 해결합니다.
그러나 LIKE 문에서 사용할 문자열을 준비할 때 리터럴이 올바르게 해석되도록 하려면 추가 LIKE 이스케이프가 필요합니다. .
이중탈출 딜레마
LIKE 매칭의 맥락에서 '_'와 '%'는 특수문자가 됩니다. MySQL은 LIKE 이스케이프 단계와 문자열 리터럴 이스케이프 단계 모두에서 백슬래시('')를 이스케이프 문자로 사용합니다. 리터럴 백분율 기호를 LIKE와 일치시키려면 이중 백슬래시 이스케이프가 필요한 사용자의 예에서 알 수 있듯이 이는 혼란을 초래할 수 있습니다.
적절한 LIKE 이스케이프
이식성을 피하기 위해 문제가 발생하면 ANSI SQL에서는 LIKE 문에 지정된 이스케이프 문자를 사용하도록 지시합니다. PHP에서 이를 달성하는 한 가지 방법은 다음 함수를 사용하는 것입니다:
function like($s, $e) {
return str_replace(array($e, '_', '%'), array($e.$e, $e.'_', $e.'%'), $s);
}Prepared 문과 함께 사용
보안과 이식성을 강화하려면 prepare를 사용하는 것이 좋습니다. 가능한 경우 진술. 이렇게 하면 적절한 데이터 처리를 보장하면서 수동으로 이스케이프할 필요가 없습니다.
위 내용은 LIKE 문에서 MySQL 와일드카드를 올바르게 이스케이프하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
