php – 是一个带有转义字符串的mysql LIKE语句,其中包含未转义的
发布时间:2020-12-13 16:50:11 所属栏目:PHP教程 来源:网络整理
导读:假设我们有以下代码(用于某种搜索或类似): $stmt = $pdo-prepare("SELECT * FROM users WHERE username LIKE ?");$stmt-execute(array('%' . $username . '%')); 提供的用户名被正确转义,但字符%(= 0或更多任意字符)和_(=正好1个任意字符)被MySQL解释为通
|
假设我们有以下代码(用于某种搜索或类似):
$stmt = $pdo->prepare("SELECT * FROM users WHERE username LIKE ?");
$stmt->execute(array('%' . $username . '%'));
提供的用户名被正确转义,但字符%(= 0或更多任意字符)和_(=正好1个任意字符)被MySQL解释为通配符. 我知道用户可以输入%或_进行搜索,如果我希望搜索功能正常工作,我应该将其转义. (在set_pt和结果中获取setopt的情况下). 但我的问题是:有人可以利用这个吗?如果是的话,有人可以利用这个以及如何预防它?下面的功能是否足够? function escape_like_string($str) {
return str_replace(Array('%','_'),Array('%','_'),$str);
}
我能想到的一种可能性是输入大量的%,因此服务器需要分配大量内存.这会有用吗? 解决方法
对于SQL注入?没有. 对于喜欢复活节蛋的行为?大概.在这种情况下,如果您不希望让用户在此搜索中使用通配符,您可以执行以下两项操作: >正确的逃脱通配符(以及转义字符), str_replace(array('','%',array('\','%','_'),$str);
// or:
str_replace(array('|',array('||','|%','|_'),$str);
// with SELECT * FROM users WHERE username LIKE ? ESCAPE '|'
>或使用LOCATE(substr,str)> 0找到完全匹配. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |