php – 是一个带有转义字符串的mysql LIKE语句,其中包含未转义

发布时间：2021-08-28 03:48:09 所属栏目：大数据来源： https://www.jb51.cc

导读：假设我们有以下代码(用于某种搜索或类似)： $stmt = $pdo-prepare("SELECT * FROM users WHERE username LIKE ?");$stmt-execute(array('%' . $username . '%')); 提供的用户名被正确转义,但字符％(= 0或更多任意字符)和_(=正好1个任意字符)被MysqL解释为通

假设我们有以下代码(用于某种搜索或类似)：

$stmt = $pdo->prepare("SELECT * FROM users WHERE username LIKE ?");
$stmt->execute(array('%' . $username . '%'));

提供的用户名被正确转义,但字符％(= 0或更多任意字符)和_(=正好1个任意字符)被MysqL解释为通配符.

我知道用户可以输入％或_进行搜索,如果我希望搜索功能正常工作,我应该将其转义. (在set_pt和结果中获取setopt的情况下).

但我的问题是：有人可以利用这个吗？如果是的话,有人可以利用这个以及如何预防它？下面的功能是否足够？

function escape_like_string($str) {
  return str_replace(Array('%', '_'), Array('%', '_'), $str);
}

我能想到的一种可能性是输入大量的％,因此服务器需要分配大量内存.这会有用吗？

解决方法:

Could someone exploit this?

对于sql注入？没有.

对于喜欢复活节蛋的行为？大概.在这种情况下,如果您不希望让用户在此搜索中使用通配符,您可以执行以下两项操作：

>正确的逃脱通配符(以及转义字符),

str_replace(array('', '%', '_'), array('\', '%', '_'), $str);
// or:
str_replace(array('|', '%', '_'), array('||', '|%', '|_'), $str);
// with SELECT * FROM users WHERE username LIKE ? ESCAPE '|'

>或使用LOCATE(substr,str)> 0找到完全匹配.

（编辑：北几岛）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!