首页  >  文章  >  后端开发  >  为什么 MySQL 转义通配符会出现意外行为?

为什么 MySQL 转义通配符会出现意外行为?

DDD
DDD原创
2024-11-07 08:25:03694浏览

Why is MySQL Escaping Wildcards Behaving Unexpectedly?

了解 MySQL 转义通配符

问题:

使用 mysql_real_escape_string 转义用户输入时,MySQL 中的输出显示某些角色的意外行为。具体来说,下划线字符前面有反斜杠,而单引号和双引号则没有。

解释:

与假设相反, 和 % 是不是一般用法中的 MySQL 通配符,并且在将它们插入字符串文字时不应进行转义。 mysql_real_escape_string 足以达到此目的,并且应避免为 和 % 添加 addcslashes。

通配符仅在 LIKE 匹配的上下文中变得相关。当将字符串表示为文字 LIKE 表达式时,需要额外的转义层,其中 _ 和 % 必须转义。这是与使用相同反斜杠字符的一般字符串转义分开完成的。

解决方案:

对于 LIKE 匹配,请按照以下步骤操作:

  1. 使用LIKE转义,其中_和%必须转义,转义字符也必须转义。
  2. 使用MySQL中的mysql_real_escape_string或其他数据库的适当函数执行一般字符串转义。

示例:

要匹配文字百分号,请使用双反斜杠以 LIKE 转义(例如,MySQL 中的 LIKE 'something\%')或使用不同的转义具有 LIKE ... ESCAPE ... 构造的可移植性。

可移植的 LIKE 转义函数:

function like($s, $e) {
    return str_replace(array($e, '_', '%'), array($e.$e, $e.'_', $e.'%'), $s);
}

带参数的示例:

$escapedname = mysql_real_escape_string(like($name, '='));
$query = "... WHERE name LIKE '%$escapedname%' ESCAPE '=' AND ...";

以上是为什么 MySQL 转义通配符会出现意外行为?的详细内容。更多信息请关注PHP中文网其他相关文章!

声明:
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn