好的,我对 php 和 mysql 相当陌生。我正在创建一个 mysql 数据库的 php 前端。我使用 PDO 驱动程序访问数据库,因为它可以防止 SQL 注入攻击。到目前为止,一切都很好,直到我遇到这个问题。我有一个搜索功能,用户可以输入完整或部分公司名称来搜索有关它的数据。
这是我用来在数据库中执行搜索的 PDO 语句:
SELECT CompName FROM CompanyName
WHERE CompName REGEXP :name
ORDER BY CompName ASC LIMIT 1
然后我就可以准备,将用户在搜索字段中输入的内容绑定到参数名称并执行该语句。只要用户不输入任何元字符,它就可以工作。这是我插入 PDO 语句而不是名称的非常基本的正则表达式:
^whatusertyped - 因为最初我正在寻找完整的匹配项。由于某些公司名称确实包含句点等,因此我希望用户能够键入这些字符和我的正则表达式,以将它们视为文字而不是元字符。到目前为止,这就是我替换元字符以获得其字面含义的方法:
用户类型:C. 查找以 C 开头的公司名称。
php 函数插入 ^ 和 \\\\ 以获得 ^C\\ 的输出。
mysql 得到:^C\\.并在公司名称的开头搜索 C.,其中句点是字面意思,并不意味着“查找通配符”。
所以我正在尝试 C.,因为数据库中有一家公司的名称以这样的开头,我应该得到一个匹配项,但我没有,PDO 语句返回一个空数组。
我确实尝试了查询:
SELECT CompName FROM CompanyName
WHERE CompName REGEXP "^C\\\\."
ORDER BY CompName ASC LIMIT 1
直接在 mysql 中并返回一个匹配项,我也直接在 PHP 中执行查询,无需准备、绑定并返回一个匹配项。在我看来,问题在于准备搜索词并将其绑定到参数,但我无法弄清楚它到底是什么以及如何解决它。我真的很想像我说的那样使用绑定和准备来避免sql注入。
任何帮助将不胜感激。希望我清楚地解释了这个问题。
我相信你所绑定的价值:name应该是公正的^C\., not ^C\\.。你不需要做任何转义sql水平,只是为了regex水平(即\.对于字面意思.).
另外,考虑使用WHERE CompName LIKE 'C.%'。这里不需要正则表达式。你会像这样使用:
function like_escape($s) {
// Do like-expression escaping
return addcslashes($s, '%_');
}
$searchprefix = 'C.';
$sql = 'SELECT CompName FROM CompanyName WHERE CompName LIKE ? ORDER BY CompName ASC';
$stmt = $db->prepare($sql);
$likeclause = like_escape($searchprefix).'%';
$db->bindValue(1, $likeclause, PDO::PARAM_STR);
$stmt->execute();
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
