如何在LIKE语句中正确转义MySQL通配符？

转义 MySQL 通配符

在无法使用预准备语句的环境中，必须在将用户输入提交到 MySQL 之前彻底转义以防止 SQL 注入。 PHP 的 mysql_real_escape_string 函数通常用于此目的，但它无法转义 MySQL 通配符“%”和“_”。

为了解决此问题，可以另外使用 addcslashes。然而，正如用户观察到的，当包含通配符的输入发送到数据库并检索时，显示的结果存在差异。

转义之谜

用户遇到了一种奇怪的行为，其中 '_' 字符以反斜杠 ('_') 为前缀，而 '"' 和 "'" 字符则为不是，即使这三个字符都用 '' 进行转义。这就提出了一个问题：为什么这些字符的处理方式不同？

理解 MySQL 上下文

解决此问题的关键难题在于理解 MySQL 中 LIKE 匹配的上下文，在一般 MySQL 使用中不被视为通配符，不应被转义。构造字符串文字。 mysql_real_escape_string 解决了此目的的转义需求。

但是，在准备用于 LIKE 语句的字符串时，需要应用一组不同的转义规则，以确保正确解释文字。需要转义。

双重转义困境

在 LIKE 匹配的上下文中，'_' 和 '%' 成为特殊字符。 MySQL 使用反斜杠 ('') 作为 LIKE 转义和字符串文字转义步骤的转义字符。这可能会导致混乱，如用户示例所示，其中将文字百分号与 LIKE 匹配需要双反斜杠转义。

正确的 LIKE 转义

避免可移植性问题，ANSI SQL 规定 LIKE 语句使用指定的转义字符。在 PHP 中实现此目的的一种方法是使用以下函数：

function like($s, $e) {
    return str_replace(array($e, '_', '%'), array($e.$e, $e.'_', $e.'%'), $s);
}

与准备好的语句一起使用

为了增加安全性和可移植性，建议使用准备好的语句可用时的声明。这消除了手动转义的需要，同时确保正确的数据处理。

以上是如何在LIKE语句中正确转义MySQL通配符？的详细内容。更多信息请关注PHP中文网其他相关文章！