WEB开发网
开发学院数据库MySQL Mysql中“_” 的搜索问题 阅读

Mysql中“_” 的搜索问题

 2007-11-11 15:53:23 来源:WEB开发网   
核心提示:真是寒啊~如果不是 Babyken 的提醒,这个错误我想我还会一直犯下去,Mysql中“_” 的搜索问题,事情起因,帮 Babyken 做了一个 0day 查询的脚本,IPB和PHPBB也不例外,VBB中被过滤掉了,脚本很简单,就是简单的取用户输入的值做 LIKE 操作查询数据库

  真是寒啊~
如果不是 Babyken 的提醒,这个错误我想我还会一直犯下去。

事情起因,帮 Babyken 做了一个 0day 查询的脚本,脚本很简单,就是简单的取用户输入的值做 LIKE 操作查询数据库。做好后经测试一直运行很好。可是今天 Babyken 告诉我说有个BUG,输入 "___" 或 ".__" 等类似的关键字时,会把数据库中的所有记录都取出来。

偶又试了以前写过的几个应用,寒,都有这个问题。。。

看起来是SQL本身对LIKE的处理问题。问了几个朋友也都没有注意过。后来在MySQL(和PHP搭配之最佳组合)手册上找到答案:

Pattern matching using SQL simple regular expression comparison. Returns 1 (TRUE) or 0 (FALSE). With LIKE you can use the following two wildcard characters in the pattern:

Char Description
% Matches any number of characters, even zero characters
_ Matches exactly one character

当时感觉就是汗啊~~ 以前怎么自己就没有注意过呢?

解决办法是把用户的输入中的 _ 和 % 转义。
不知道是只是MySQL(和PHP搭配之最佳组合)有这个问题,还是其它数据也有。希望熟悉其它数据库应用的朋友试一下。

相关MySQL(和PHP搭配之最佳组合)说明页面:http://www.MySQL(和PHP搭配之最佳组合).com/doc/en/String_comparison_functions.html

2004年1月16日22时25分补记:
与xdanger探讨后发现,目前网上大部分的PHP+MySQL(和PHP搭配之最佳组合)程序都存在此BUG,IPB和PHPBB也不例外,VBB中被过滤掉了。看起来这应该是一个值得引起重视的问题了。

Tags:Mysql 搜索 问题

编辑录入:coldstar [复制链接] [打 印]
赞助商链接