3
我有查詢Select * from table1 where name like '%Whateveruserpassintextbox%'。如何處理查詢中的%?
當用戶通過%在文本框中查詢時返回所有的表數據。
什麼是處理這種情況的正確方法?
A
回答
4
試試做\%匹配一個「%」字符。閱讀更多關於MySql Docs
要測試通配符的文字實例,請在其前面加上轉義字符。如果您未指定ESCAPE字符,則假定爲「\」。
-----------------------------------------
| String | Description |
-----------------------------------------
| \% | Matches one 「%」 character |
| \_ | Matches one 「_」 character |
-----------------------------------------
4
一開始,像這樣的查詢被稱爲一個性能殺手。通常你應該這樣做是有問題的。
但是,如果用戶通過在%,你需要的東西,如逃吧:
select * from table1
where name like '%50\% off sale%'
escape "\";
我覺得\實際上是默認轉義字符,但我傾向於在情況明確指定其默認的可能不斷變化。
因此,基本上,你預先處理字符串與\%之前更換%你把它在兩端的兩個%標記之間。
您還應該通過像mysql_real_escape_string這樣的過濾器傳遞任何用戶輸入以防止SQL注入攻擊。在執行上述建議的預處理之前,請執行此操作,以便您的\%無意中變爲\\%。
還有'%'「任意數目的字符」通配符,你也應該逃避'_'「一個字符」通配符,以免user_name也將匹配像usersname事情。
所以這個過程將是:從用戶
- GET字符串。
- 通過
mysql_real_escape_string。 - 通過將
%全部替換爲\%來進一步清理它。 - 通過將
_全部替換爲\_來進一步清理它。
只有這樣,你甚至開始想想,你可能要考慮使用字符串:-)
+0
表現殺手!你在這裏提到的好點 – Jayy 2012-02-24 06:26:35
0
希望這有助於
$search=$_POST['whatuserTypes'];
if($search == '%')
{
$query=("Select * from table1;");
}
else
{
$query = sprintf("SELECT * FROM table1 WHERE name like '%s'",
mysql_real_escape_string($search));
}
相關問題
- 1. 如何處理\查詢mysql
- 2. 如何處理MySQL查詢
- 3. 如何處理查詢?
- 4. 查詢處理
- 5. 如何處理大的MySQL查詢
- 6. 如何查詢delayed_job的處理
- 7. 如何Prolog的處理這個查詢
- 8. SQL查詢,如何處理複雜的查詢?
- 9. Cassandra如何處理選擇查詢?
- 10. 如何處理閏年查詢
- 11. 如何處理多語種MySQL查詢?
- 12. TransactionScope如何處理多個查詢?
- 13. 如何處理空LINQ查詢
- 14. 如何處理Django查詢集?
- 15. 如何處理以下查詢
- 16. PowerShell查詢:如何處理文件
- 17. SQL Server如何處理以下查詢?
- 18. SQLite如何處理大規模查詢?
- 19. 如何處理這個SQL查詢
- 20. 如何處理和分組從Java中的SQL查詢處理的數據?
- 21. 如何處理帶查詢結果的查詢而不查詢結果?
- 22. SQL批處理查詢處理(SQL查詢輸入數組)
- 23. 如何將UNION查詢作爲子查詢處理
- 24. 如何處理自然語言查詢到Solr的理解查詢
- 25. 查詢完成後,如何後處理Excel Web查詢中的數據?
- 26. 如何處理使用Firebase的查詢中的超時
- 27. 處理Android中的無效SQLite查詢
- 28. linq查詢中未處理的異常
- 29. 異常處理中的查詢
- 30. Lucene中的多字段查詢處理
正確的方法是,以微薄的可能性解釋你想要什麼。只有在你知道之後,你才能實現它... – Konerak 2012-02-24 06:19:49
有關SQL注入的任何想法? – 2012-02-24 06:20:37
當用戶輸入%時,他只能得到與named中的%相匹配的數據。 – 2012-02-24 06:21:40