Comment puis-je effectuer une correspondance de modèles littéraux dans les requêtes PostgreSQL pour éviter un élargissement involontaire des résultats de recherche ?

Correspondance de modèles littéraux dans les requêtes PostgreSQL

Dans PostgreSQL, effectuer une correspondance de modèles LIKE sur des colonnes de chaîne nécessite une attention particulière lors du traitement des entrées fournies par l'utilisateur . Une saisie non validée contenant des caractères spéciaux (par exemple, « _ » ou « % ») peut élargir involontairement les résultats de la recherche. Pour résoudre ce problème, il est nécessaire de s'assurer que ces caractères sont interprétés littéralement.

Échappement côté client ou côté serveur

La décision de gérer ou non l'échappement sur le côté client ou le côté serveur dépend d'exigences spécifiques. L'échappement côté client implique le prétraitement des entrées de l'utilisateur dans le code de l'application avant de l'envoyer à la base de données. Cette approche offre plus de contrôle mais nécessite une logique de gestion supplémentaire.

Évasion côté serveur

PostgreSQL offre une solution plus élégante pour l'échappement côté serveur. En utilisant la clause ESCAPE dans l'instruction LIKE, vous pouvez spécifier un caractère spécial à utiliser pour citer des caractères génériques. Cela les empêche d'être interprétés comme des métacaractères regex.

Par exemple, la requête suivante correspondrait à la chaîne exacte « rob » :

SELECT * FROM users WHERE name LIKE 'rob%' ESCAPE '^'

Considérations d'échappement

Lors de l'utilisation de l'échappement côté serveur, il est important de prendre en compte les suivant :

• Caractère d'échappement par défaut : Le caractère d'échappement par défaut est la barre oblique inverse (), mais il peut être modifié avec la clause ESCAPE.
• Double échappement : Pour faire correspondre littéralement un seul caractère d'échappement, il doit être échappé deux fois (par exemple, 'rob^%node1^^node2.uucp@%' ESCAPE '^').
• Chaînes non conformes aux normes : Dans les versions précédentes de PostgreSQL où standard_conforming_strings est désactivé, le caractère d'échappement de barre oblique inverse pourrait être utilisé à d’autres fins. Dans de tels cas, il est conseillé d'utiliser un guillemet alternatif.
• Injection SQL : Lors de l'utilisation de l'échappement côté serveur, il est crucial de nettoyer les entrées de l'utilisateur pour empêcher l'injection SQL.

Exemple Go-PGSQL

Pour Go-PGSQL, vous peut utiliser la requête suivante pour effectuer une correspondance de modèle littéral :

db.Query("SELECT * from USERS where name like replace(replace(replace(,'^','^^'),'%','^%'),'_','^_') ||'%' ESCAPE '^'",
variable_user_input);

Cette requête utilise le remplacement côté serveur pour échapper aux caractères génériques, un caractère d'échappement alternatif et un double échappement pour garantir une correspondance littérale tout en se protégeant contre l'injection SQL.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!