데이터베이스 삽입을 위해 와일드카드를 포함한 MySQL 특수 문자를 안전하게 이스케이프하려면 어떻게 해야 합니까?

데이터베이스 삽입을 위한 MySQL 특수 문자 이스케이프

MySQL 데이터베이스에 사용자 입력을 삽입할 때 특수 문자를 올바르게 이스케이프하여 잠재적인 취약점을 방지하는 것이 중요합니다. 문자. PHP 함수 mysql_real_escape_string은 이 작업을 효과적으로 처리하지만 MySQL 와일드카드 % 및 _를 이스케이프하지 않습니다.

이 문제를 해결하기 위해 많은 개발자는 mysql_real_escape_string과 함께 addcslashes 함수를 사용하여 이러한 와일드카드도 이스케이프합니다. 그러나 이 접근 방식은 예상치 못한 결과를 초래할 수 있습니다.

MySQL의 와일드카드 이스케이프 이해

일반적인 믿음과 달리 _ 및 %는 MySQL에서 일반 문자열에 대한 와일드카드로 간주되지 않습니다. 리터럴. 패턴 일치를 위해 LIKE 문에서 사용될 때만 이스케이프되어야 합니다.

이스케이프 계층 구조

LIKE 문 컨텍스트에서 특수 문자 이스케이프에는 두 가지 수준이 포함됩니다.

1. LIKE 탈출: LIKE 내 명령문에서 _ 및 %는 이스케이프 문자와 함께 이스케이프되어야 합니다. 이스케이프 문자 자체도 이스케이프해야 합니다.
2. 문자열 리터럴 이스케이프: LIKE 이스케이프 후 문자열은 특정 데이터베이스의 요구 사항에 따라 일반 문자열 리터럴 이스케이프를 거쳐야 합니다. MySQL의 경우 이는 mysql_real_escape_string을 사용하여 수행됩니다.

이중 백슬래시와의 혼동

MySQL은 백슬래시 문자를 LIKE 이스케이프 및 문자열 모두에 대한 이스케이프 문자로 사용합니다. 말 그대로 탈출. 이는 %를 포함하는 문자열을 삽입할 때 볼 수 있듯이 혼란을 초래할 수 있습니다. LIKE 목적으로 이스케이프하려면 이중 백슬래시를 사용해야 하며, 문자열 리터럴 삽입을 위해 문자열 전체를 다시 이스케이프해야 합니다.

ANSI SQL 및 Portable LIKE 이스케이프

ANSI SQL은 문자열 리터럴 내의 백슬래시가 리터럴 백슬래시를 나타내고 작은 따옴표는 ''를 사용하여 이스케이프되도록 정의합니다. 그러나 MySQL은 이 표준에서 벗어납니다. 이식성을 보장하려면 MySQL의 기본 동작을 재정의하고 LIKE ... ESCAPE ... 구문을 사용하여 사용자 정의 이스케이프 문자를 지정하는 것이 좋습니다. 예:

function like($s, $e) {
    return str_replace(array($e, '_', '%'), array($e.$e, $e.'_', $e.'%'), $s);
}

$escapedname = mysql_real_escape_string(like($name, '='));
$query = "... WHERE name LIKE '%$escapedname%' ESCAPE '=' AND ...";

위 내용은 데이터베이스 삽입을 위해 와일드카드를 포함한 MySQL 특수 문자를 안전하게 이스케이프하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!