Mysql
 sql >> база данни >  >> RDS >> Mysql

Сигурност за подготвен SQL оператор с REGEX в заявка

Заместителите не могат да се цитират. Лесно като това:

SELECT ... WHERE foo = ?
SELECT ... WHERE foo = '?'

Първият е заместител и работи според очакванията. Другият е тест за равенство срещу знака "въпросителен знак". Това вече не е контейнер.

И тогава има проблем с ? също е метасимвол за регулярен израз. Ако заместителите МОГАТ да бъдат цитирани, тогава са дадени

SELECT ... WHERE foo REGEXP '^.?' 

би ли това ? да бъде заместител на заявка или е операторът за обхват на регулярния израз "нула или едно"?

Ако искате да използвате контейнери в регулярни изрази, трябва да „изградите“ модела на регулярен израз

SELECT ... WHERE foo REGEXP concat('^.', ?)

Точно по същия начин, по който бихте трябвало да създадете LIKE модел:

SELECT ... WHERE foo LIKE '%?%' // wrong
SELECT ... WHERE foo LIKE concat('%', ?, '%') // right



  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. Mysql - LIMIT по процент?

  2. Как да предотвратите показването на странни знаци в уеб страниците

  3. Как да увеличите броя на поява на стойност на колона в MySQL

  4. MySQL търсене и замяна на текст в поле

  5. Включително извиквания на DB функции в python MySQLdb executemany()