在无法使用预准备语句的环境中,必须在将用户输入提交到 MySQL 之前彻底转义以防止 SQL 注入。 PHP 的 mysql_real_escape_string 函数通常用于此目的,但它无法转义 MySQL 通配符“%”和“_”。
为了解决此问题,可以另外使用 addcslashes。然而,正如用户观察到的,当包含通配符的输入发送到数据库并检索时,显示的结果存在差异。
转义之谜
用户遇到了一种奇怪的行为,其中 '_' 字符以反斜杠 ('_') 为前缀,而 '"' 和 "'" 字符则为不是,即使这三个字符都用 '' 进行转义。这就提出了一个问题:为什么这些字符的处理方式不同?
理解 MySQL 上下文
解决此问题的关键难题在于理解 MySQL 中 LIKE 匹配的上下文,在一般 MySQL 使用中不被视为通配符,不应被转义。构造字符串文字。 mysql_real_escape_string 解决了此目的的转义需求。
但是,在准备用于 LIKE 语句的字符串时,需要应用一组不同的转义规则,以确保正确解释文字。需要转义。
双重转义困境
在 LIKE 匹配的上下文中,'_' 和 '%' 成为特殊字符。 MySQL 使用反斜杠 ('') 作为 LIKE 转义和字符串文字转义步骤的转义字符。这可能会导致混乱,如用户示例所示,其中将文字百分号与 LIKE 匹配需要双反斜杠转义。
正确的 LIKE 转义
避免可移植性问题,ANSI SQL 规定 LIKE 语句使用指定的转义字符。在 PHP 中实现此目的的一种方法是使用以下函数:
function like($s, $e) {
return str_replace(array($e, '_', '%'), array($e.$e, $e.'_', $e.'%'), $s);
}与准备好的语句一起使用
为了增加安全性和可移植性,建议使用准备好的语句可用时的声明。这消除了手动转义的需要,同时确保正确的数据处理。
以上是如何在LIKE语句中正确转义MySQL通配符?的详细内容。更多信息请关注PHP中文网其他相关文章!
