各位大佬， mysql 中模糊查询 % 和 _这个特殊符号的有什么解决方法？传递特殊符号会有注入问题么？有的话一般怎么解决？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

• 请不要在回答技术问题时复制粘贴 AI 生成的内容

This topic created in 2317 days ago, the information mentioned may be changed or developed.

符号

MySQL

特殊

大佬

27 replies • 2019-12-27 00:47:42 +08:00

L5tEU4WX072p5P42

Dec 26, 2019

放心, SQL 注入是过去时了, 现在的框架都可以抵御 SQL 注入.

ThirdFlame

Dec 26, 2019

@Mogamigawa 不不不框架有能力，不代表你就写不出来 sql 注入。

xiaochun41

Dec 26, 2019

当你需要引用外部输入的变量去构建 sql 语句时候，对输入进行转义就可以了。
具体如何转义，各个语言的 mysql api 一般都有提供方法。

autung

Dec 26, 2019

这种广泛存在的问题应该是有规范的吧，有些网站是可以是用全部特殊符号，但是有些网站又会限制某些特殊符号，但是用提示和过滤显得有些麻烦，总不能每个接口有用户输入都要做这些提示吧，且这些特殊符号也有相应的使用场景，啊想想这一连串的问题，真是莫名的头大，而我只是一个改 bug 的垃圾小前端！ want to go die ！

autung

Dec 26, 2019

@xiaochun41 我们老大说会有注入问题应该避免传特殊符号，我觉得这并不是一个好的方式，毕竟会莫名的增添很多麻烦

manami

Dec 26, 2019

使用 mysql 的预编译语句可有效防止 sql 注入
````
// 省略……
PreparedStatement ps = con.prepareStatement(sql);
ps.setString(xxx)
// 省略……
````

manami

Dec 26, 2019

使用了预编译语句，特殊符号当成普通参数一样插入就行

xiaochun41

Dec 26, 2019

@autung 你也可以直接在获取输入的地方，统一做一下，并不算麻烦。

sx90

Dec 26, 2019

连 CPU 也有 BUG

不嫌累，不嫌加载过慢，就层层加密，层层审计

一般，直接用框架，多快好省

autung

Dec 26, 2019

@manami 下次让后端小伙子自己试试

manami

Dec 26, 2019

@autung 卧槽刚仔细看了下与预编译不能处理%和_特殊字符

manami

Dec 26, 2019

那只能在执行 sql 语句前对参数进行过滤了

VictorJing94

Dec 26, 2019

关键词在后台过滤一下

autung

Dec 26, 2019

@VictorJing94 我觉得这才是最正确的答案，毕竟前端的传递的内容和方式都不能信任

aguesuka

Dec 26, 2019 via Android

用 instr 代替 like %param%查询

hhgfy

Dec 26, 2019

% 用 '\' 转义吧

zrc

Dec 26, 2019

instr ?

autung

Dec 26, 2019

@hhgfy it's right

aguesuka

Dec 26, 2019 via Android

不同的数据库也提供了转义符，谷歌的关键词叫 sql like ecsape

Felldeadbird

Dec 26, 2019

前端不需要刻意处理。后端接收到你提交的数据库后，让后端连接数据库时，基于 SQL 进行预编译处理。

lovelive1024

Dec 26, 2019

转义特殊字符
public static String escapeLikeValue(String value) {
//String[] SPECIAL_CHARACTERS = {"%", "_", "[", "]", "^"};
for (String str : SPECIAL_CHARACTERS) {
value = value.replace(str, "\\" + str);
}
return value;
}