like 语句后参数不够安全如何安全过滤?
在 mysql 查询中使用 like 语句时,如果后跟的参数直接拼接,可能会导致 sql 注入攻击。因此,需要对特殊字符(如 % 和 _)进行过滤处理以确保查询的安全性。
过滤方法
要过滤 % 和 _ 字符,可以使用 concat() 函数。concat() 函数可以将多个字符串连接在一起,从而可以将特殊字符放置在参数中安全的位置。
盛世企业网站管理系统1.1.2
下载
免费 盛世企业网站管理系统(SnSee)系统完全免费使用,无任何功能模块使用限制,在使用过程中如遇到相关问题可以去官方论坛参与讨论。开源 系统Web代码完全开源,在您使用过程中可以根据自已实际情况加以调整或修改,完全可以满足您的需求。强大且灵活 独创的多语言功能,可以直接在后台自由设定语言版本,其语言版本不限数量,可根据自已需要进行任意设置;系统各模块可在后台自由设置及开启;强大且适用的后台管理支
示例代码
假设我们要查询项目名为 "项目_好" 的所有项目。我们可以使用以下经过过滤的 like 语句:
WHERE project LIKE CONCAT('%', '%_好的', '%')在这个例子中,我们使用 concat() 函数将 % 字符和 _ 字符添加到参数中,从而避免了 sql 注入攻击的可能性。
