如何在查询和LIKE语句中正确转义MySQL通配符？

转义 MySQL 可转义字符

MySQL 包含一组被视为通配符的字符，能够匹配多个输入。这些字符包括 %（百分比）和 _（下划线）。虽然 mysql_real_escape_string() 旨在处理大多数字符的转义以包含在 SQL 查询中，但它并没有解决这些通配符。

为了完全转义用户输入并防止这些字符被解释为元字符，建议将 mysql_real_escape_string() 函数与 addcslashes() 函数结合使用。

但是，当转义字符以包含在 LIKE 语句中，必须采取不同的方法。在 LIKE 语句中，_ 和 % 不被视为通配符，而是文字字符。要按字面匹配这些字符，必须使用 ESCAPE 子句对它们进行转义。

例如，要匹配字面百分号，LIKE 语句应使用以下语法：

LIKE 'something\%' ESCAPE '\'

注使用反斜杠 () 作为 LIKE 转义字符和 SQL 字符串文字的转义字符。这允许在 LIKE 语句中按字面解释百分号 (%)。

使用 PHP 准备好的语句时，会自动处理转义，无需手动转义。但是，如果准备好的语句不可用，则 mysql_real_escape_string() 和 addcslashes() 的组合可以有效保护用户输入免受潜在的 SQL 注入攻击。

以上是如何在查询和LIKE语句中正确转义MySQL通配符？的详细内容。更多信息请关注PHP中文网其他相关文章！