$stmt = $pdo->prepare("SELECT * FROM users WHERE username LIKE ?");
$stmt->execute(array('%' . $username . '%'));
提供的用户名被正确转义,但字符%(= 0或更多任意字符)和_(=正好1个任意字符)被MysqL解释为通配符.
我知道用户可以输入%或_进行搜索,如果我希望搜索功能正常工作,我应该将其转义. (在set_pt和结果中获取setopt的情况下).
但我的问题是:有人可以利用这个吗?如果是的话,有人可以利用这个以及如何预防它?下面的功能是否足够?
function escape_like_string($str) {
return str_replace(Array('%', '_'), Array('\%', '\_'), $str);
}
我能想到的一种可能性是输入大量的%,因此服务器需要分配大量内存.这会有用吗?
解决方法:
Could someone exploit this?
对于sql注入?没有.
对于喜欢复活节蛋的行为?大概.在这种情况下,如果您不希望让用户在此搜索中使用通配符,您可以执行以下两项操作:
>正确的逃脱通配符(以及转义字符),
str_replace(array('\\', '%', '_'), array('\\\\', '\\%', '\\_'), $str);
// or:
str_replace(array('|', '%', '_'), array('||', '|%', '|_'), $str);
// with SELECT * FROM users WHERE username LIKE ? ESCAPE '|'
>或使用LOCATE(substr,str)> 0找到完全匹配.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。