我應該在“ LIKE” SQL查詢中轉義通配符嗎?
[英]should I escape wildcards in a “LIKE” sql query?
問題描述
假設我在這樣的變量中存儲了一個LIKE sql語句:
$movie_title = $_POST['movie_title'];
$query= "SELECT movie FROM movies WHERE title LIKE '%" . $movie_title . "%'";
我可以通過轉義通配符%和_防止什么情況的sql注入攻擊?
2 個解決方案
解決方案1
2 已采納 2012-05-21 07:55:26
使用PDO:
$pdo = new PDO(/* db info */);
$original = $_POST['movie_title'];
$wildcarded = '%'.$original.'%';
$stmt = $pdo->prepare('SELECT movie FROM movies WHERE title LIKE :var');
$stmt->bindParam(':var', $wildcarded);
$stmt->execute();
// fetching and stuff...
解決方案2
1 2014-04-26 23:54:20
很簡單:
編寫這樣的函數:
function sqlwildcardesc($x){
return str_replace(array("%", "_"), array("\\%", "\\_"), mysql_real_escape_string($x));
}
現在您的查詢:
$query= "SELECT movie FROM movies WHERE title LIKE '%".sqlwildcardesc($movie_title)."%'";
這應該工作! 我在自己的項目中測試過它! 玩得開心 ;)
如何在 SQL LIKE 中使用 '\\' ... ESCAPE '\\'
[英]How can I use '\' in SQL LIKE ... ESCAPE '\'
如何使用使用sqliteCreateFunction自定義的LIKE語句在參數化查詢中轉義通配符?
[英]How to escape wildcards in parameterized queries with a LIKE statement customized using `sqliteCreateFunction`?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.